0
0
Especialistas em segurança encontraram uma vulnerabilidade grave em um driver de impressora comum usado pela HP, Xerox e Samsung.
O bug, rastreado como CVE-2021-3438, está presente no código do driver da impressora desde 2005 e afeta centenas de milhões de impressoras vendidas nos últimos 16 anos.
“Essa vulnerabilidade afeta uma lista muito longa de mais de 380 modelos diferentes de impressora HP e Samsung, bem como pelo menos uma dúzia de produtos Xerox diferentes”, disse Asaf Amir, pesquisador de segurança da SentinelOne que descobriu o problema e o relatou às empresas afetadas em fevereiro deste ano.
Patches estão disponíveis há pelo menos dois meses, mas Amir publicou seu próprio relatório hoje para alertar os usuários sobre a gravidade dessa vulnerabilidade.
Descrito como um estouro de buffer em um arquivo de driver de impressora chamado “SSPORT.SYS”, o bug pode ser abusado por elevação de ataques de privilégio que permitem que malware instalado localmente ou código malicioso obtenha acesso em nível ADMIN aos sistemas onde o driver vulnerável está instalado (uma impressora afetada está conectada).
“Entre os abusos óbvios de tais vulnerabilidades estão que elas poderiam ser usadas para contornar produtos de segurança”, disse Amir.
“Exortar com sucesso uma vulnerabilidade de driver pode permitir que atacantes potencialmente instalem programas, visualizem, alterem, criptografem ou excluam dados ou criem novas contas com direitos de usuário completos”, acrescentou o pesquisador.
Além disso, Amir também aponta que alguns sistemas Windows já podem ter o driver de impressora vulnerável instalado em suas máquinas, mesmo sem o conhecimento do usuário, algo que aconteceu quando os usuários conectaram um dos modelos de impressora vulneráveis (consulte os avisos HP e Xerox) aos seus sistemas, e o driver foi entregue via Windows Update.
Amir recomendou que os usuários verificassem se o modelo de impressora está listado nos avisos e, em seguida, instalassem a atualização mais recente do driver de impressora no site do fornecedor.
A descoberta do SentinelOne ocorre dois meses depois que a empresa de segurança também encontrou uma vulnerabilidade de 12 anos no driver DBUtil da Dell que poderia ser abusada em uma elevação semelhante de ataques de privilégios.
FONTE: THE RECORD