16-letnia podatność w sterownikach niektórych drukarek

Podatność CVE-2021-3438 została odkryta niedawno, bo 18 lutego, ale w kodach źródłowych sterowników znajdowała się od 16 lat. Dotyczy ona jedynie starszych modeli drukarek HP, Samsung i Xerox. Niestety nie oznacza to, że luka nie jest poważna, bo obejmuje stosunkowo popularne modele (łącznie około 400).

Wykorzystanie podatności pozwala na podniesienie uprawnień w wyniku przepełnienia bufora wydruku. Jak się okazuje, podczas instalowania drukarki w systemie (przewodowo lub bezprzewodowo) jest inicjalizowany sterownik SSPORT.sys. Podobnie dzieje się za każdym razem podczas uruchamiania Windowsa. Jedna z funkcji sterownika nie sprawdza poprawności danych wejściowych, co umożliwia przeprowadzenie buffer overflow.

Uwagę badaczy zwrócił ciąg „This String is from Device Driver@@@@ „, co zasugerowało, że kod został skopiowany z projektu Microsoftu. Podatność umożliwia wykonanie kodu w trybie jądra.

Successfully exploiting a driver vulnerability might allow attackers to potentially install programs, view, change, encrypt or delete data, or create new accounts with full user rights.

Brakuje dowodów, że ktoś wykorzystał tę podatność przed badaczami. Producenci wydali już odpowiednie aktualizacje, dlatego rekomendowane jest ich wdrożenie. Najlepiej nie umożliwiać zdalnego dostępu do drukarki, a jeśli jest to konieczne, warto rozważyć „schowanie” jej za VPN.

To nie pierwsze doniesienia o podatnościach w drukarkach. W przeszłości zdarzało się już, że urządzenia umożliwiały zdalne RCE, również na uprawnieniach root, czy masowe drukowanie manifestów.

–Michał Giza