Anzeige

IT Sicherheit

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.

Weltweit wurden seit dem Jahr 2005 Hunderte von Millionen von Druckern mit dem anfälligen Treiber ausgeliefert. Die Ergebnisse von SentinelLabs wurden am 18. Februar 2021 proaktiv an HP gemeldet und werden als CVE-2021-3438 mit dem CVSS-Score 8.8 geführt. HP hat am 19. Mai ein Sicherheitsupdate für seine Kunden veröffentlicht, um die Schwachstelle zu beheben. Zum jetzigen Zeitpunkt gibt es noch keine Beweise für aktive oder erfolgreiche Angriffe auf Basis der Sicherheitslücke, allerdings birgt die Schwachstelle Möglichkeiten für Angreifer, Malware über Drucker in Systeme einzuschleusen.

 

Ausnutzung durch Erweiterung von Zugriffsrechten

Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer gefragt oder benachrichtigt wird – unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird. Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist. 

Die anfällige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus über IOCTL (Input/Output Control) gesendet werden, ohne den Größenparameter zu validieren. Dies ermöglicht Angreifern einen Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem SYSTEM-Konto führen und Code im Kernel-Modus ausführen. So können unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu ändern, zu verschlüsseln oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario wäre beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und daraufhin Lösegeldforderungen zu stellen.

 

Gegenmaßnahmen

Die Sicherheitslücke und die notwendigen Abhilfemaßnahmen sind im HP Security Advisory HPSBPI03724 und im Xerox Advisory Mini Bulletin XRX21K beschrieben. Benutzer von HP-, Xerox- und Samsung-Druckern – sowohl Unternehmen als auch Privatkunden – sollten den zur Verfügung gestellten Patch so bald wie möglich installieren. Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der verwundbare Treiber kann potenziell immer noch für BYOVD (bring your own vulnerable driver)-Angriffe verwendet werden. SentinelOne empfiehlt Nutzern außerdem die Supportseite von HP zu besuchen, wo sie ihr Druckermodell eingeben, und die zugehörige Patch-Datei herunterladen können.

labs.sentinelone.com


Weitere Artikel

Cyber Security

Extended Detection and Response - Wunsch und Wirklichkeit

Warum XDR und warum jetzt? Es gibt mittlerweile derart viele Sicherheitstools, dass selbst Experten kaum noch in der Lage sind, sie zu überblicken und zu verwalten.
Hacker-Travel

Sommerzeit – Urlaubszeit – wie Mitarbeiter sich vor Cyberattacken schützen können

„Habt ihr Tipps für Reiseziele?“, „Wer kennt ein gutes Hotel auf Bali?“, „Ich bin dann mal zwei Wochen weg“ – der Sommer ist zurück, Reisen ist wieder erlaubt (wenn auch mit den ein oder anderen Vorgaben) und das Fernweh kann gestillt werden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.