Το σφάλμα θα μπορούσε να επιτρέψει στους κυβερνοεπιτιθέμενους να παρακάμψουν προϊόντα ασφαλείας, να παραβιάσουν τα δεδομένα και να τρέξουν κώδικα σε λειτουργία πυρήνα.
Οι ερευνητές δημοσίευσαν τεχνικές λεπτομέρειες σχετικά με ένα ελάττωμα κλιμάκωσης προνομίων υψηλής σοβαρότητας στα προγράμματα οδήγησης εκτυπωτών HP (χρησιμοποιούνται επίσης από τη Samsung και τη Xerox), η οποία επηρεάζει εκατοντάδες εκατομμύρια υπολογιστές Windows.
Σε περίπτωση εκμετάλλευσης, οι κυβερνοεπιτιθέμενοι θα μπορούσαν να παρακάμψουν προϊόντα ασφαλείας. εγκατάσταση προγραμμάτων. προβολή, αλλαγή, κρυπτογράφηση ή διαγραφή δεδομένων. ή δημιουργήστε νέους λογαριασμούς με πιο εκτεταμένα δικαιώματα χρήστη.
Το σφάλμα (CVE-2021-3438) έχει παραμείνει σε συστήματα για 16 χρόνια, σύμφωνα με ερευνητές του SentinelOne, αλλά αποκαλύφθηκε μόνο φέτος. Έχει βαθμολογία 8,8 στα 10 στην κλίμακα CVSS, καθιστώντας το ως με υψηλή σοβαρότητα.
Σύμφωνα με τους ερευνητές, η ευπάθεια υπάρχει σε μια λειτουργία μέσα στο πρόγραμμα οδήγησης που δέχεται δεδομένα που αποστέλλονται από τη λειτουργία χρήστη μέσω ελέγχου εισόδου / εξόδου (IOCTL). το κάνει χωρίς επικύρωση της παραμέτρου μεγέθους. Όπως υποδηλώνει το όνομα, το IOCTL είναι μια κλήση συστήματος για λειτουργίες εισόδου / εξόδου για συγκεκριμένες συσκευές.
“Αυτή η λειτουργία αντιγράφει μια συμβολοσειρά από την είσοδο του χρήστη χρησιμοποιώντας το “strncpy” με μια παράμετρο μεγέθους που ελέγχεται από τον χρήστη”, σύμφωνα με την ανάλυση του SentinelOne, που κυκλοφόρησε την Τρίτη “Ουσιαστικά, αυτό επιτρέπει στους εισβολείς να ξεπεράσουν το buffer που χρησιμοποιείται από τον οδηγό.”
Έτσι, οι μη προνομιούχοι χρήστες μπορούν να αναβαθμιστούν σε έναν λογαριασμό SYSTEM, επιτρέποντάς τους να τρέχουν κώδικα σε λειτουργία πυρήνα, καθώς το ευάλωτο πρόγραμμα οδήγησης είναι τοπικά διαθέσιμο σε οποιονδήποτε, σύμφωνα με την εταιρεία.
Ο φορέας επίθεσης που βασίζεται στον εκτυπωτή είναι ιδανικός για εγκληματίες στον κυβερνοχώρο, σύμφωνα με το SentinelOne, καθώς τα προγράμματα οδήγησης εκτυπωτή είναι ουσιαστικά πανταχού παρόντα σε υπολογιστές Windows και φορτώνονται αυτόματα σε κάθε εκκίνηση.
«Έτσι, στην πραγματικότητα, αυτός ο οδηγός εγκαθίσταται και φορτώνεται χωρίς καν να ρωτήσει ή να ειδοποιήσει τον χρήστη», εξήγησαν οι ερευνητές. «Είτε ρυθμίζετε τον εκτυπωτή ώστε να λειτουργεί ασύρματα ή μέσω καλωδίου USB, φορτώνεται αυτό το πρόγραμμα οδήγησης. Επιπλέον, θα φορτώνεται από τα Windows σε κάθε εκκίνηση. Αυτό καθιστά τον οδηγό τέλειο υποψήφιο για στόχευση, καθώς θα φορτώνεται πάντα στο μηχάνημα ακόμα και αν δεν υπάρχει συνδεδεμένος εκτυπωτής. ”
Η εξουδετέρωση του σφάλματος ενδέχεται να απαιτεί αλυσίδες άλλων τρωτών σημείων για την επίτευξη αρχικής πρόσβασης σε ένα περιβάλλον. Μέχρι στιγμής, δεν έχουν παρατηρηθεί επιθέσεις στην άγρια φύση.
«Παρόλο που δεν έχουμε δει κανένα δείκτη ότι αυτή η ευπάθεια έχει αξιοποιηθεί μέχρι τώρα, με εκατοντάδες εκατομμύρια επιχειρήσεις και χρήστες ευάλωτα, είναι αναπόφευκτο οι επιτιθέμενοι να αναζητήσουν εκείνους που δεν κάνουν την κατάλληλη δράση”, προειδοποιήσαν οι ερευνητές.
Τρόπος διόρθωσης του σφάλματος προγράμματος οδήγησης εκτυπωτή HP
Δεδομένου ότι το σφάλμα υπάρχει από το 2005, επηρεάζει μια πολύ μεγάλη λίστα μοντέλων εκτυπωτών, σημείωσαν οι ερευνητές. τα επηρεαζόμενα μοντέλα και οι σχετικές ενημερώσεις μπορούν να βρεθούν εδώ και εδώ.
Οι ευπάθειες του προγράμματος οδήγησης συσκευής δεν είναι ασυνήθιστες, οπότε το SentinelOne πρότεινε επίσης τη μείωση της επιφάνειας επίθεσης με ορισμένες βέλτιστες πρακτικές, συμπεριλαμβανομένης της εφαρμογής ισχυρών λιστών ελέγχου πρόσβασης (ACL), οι οποίες ελέγχουν την πρόσβαση σε πακέτα, φακέλους και άλλα στοιχεία (όπως υπηρεσίες, τύποι εγγράφων και προδιαγραφές) σε επίπεδο ομάδας. Και είναι καλή ιδέα να επαληθεύσετε την είσοδο χρήστη και να μην εκθέσετε μια γενική διεπαφή σε λειτουργίες λειτουργίας πυρήνα, πρόσθεσαν.
«Ενώ η HP κυκλοφορεί ένα patch (ένα σταθερό πρόγραμμα οδήγησης), θα πρέπει να σημειωθεί ότι το πιστοποιητικό δεν έχει ακόμη ανακληθεί τη στιγμή της σύνταξης», σύμφωνα με το SentinelOne. “Αυτό δεν θεωρείται βέλτιστη πρακτική, δεδομένου ότι το ευάλωτο πρόγραμμα οδήγησης μπορεί ακόμα να χρησιμοποιηθεί σε επιθέσεις με το δικό σας ευάλωτο πρόγραμμα οδήγησης (BYOVD).”
Ορισμένα μηχανήματα των Windows ενδέχεται να έχουν ήδη το ευάλωτο πρόγραμμα οδήγησης χωρίς να εκτελούν ακόμη ένα ειδικό αρχείο εγκατάστασης, προειδοποίησαν οι ερευνητές, καθώς συνοδεύουν τα Microsoft Windows μέσω του Windows Update.
«Αυτή η ευπάθεια υψηλής σοβαρότητας επηρεάζει εκατοντάδες εκατομμύρια συσκευές και εκατομμύρια χρήστες σε όλο τον κόσμο», σύμφωνα με το SentinelOne. «Ο αντίκτυπος που θα μπορούσε να έχει στους χρήστες και τις επιχειρήσεις που δεν επιδιορθώνουν είναι εκτεταμένος και σημαντικός.»
Το SentinelOne έχει βρει προηγούμενα τρωτά σημεία, όπως μια ομάδα που επηρεάζει το πρόγραμμα οδήγησης ενημέρωσης υλικολογισμικού της Dell που παρέμεινε κρυμμένο για 12 χρόνια. Σε αυτήν την περίπτωση, που αποκαλύφθηκε τον Μάιο, διαπιστώθηκε ότι πέντε ελαττώματα ασφαλείας υψηλής σοβαρότητας επηρεάζουν δυνητικά εκατοντάδες εκατομμύρια επιτραπέζιους υπολογιστές, φορητούς υπολογιστές, φορητούς υπολογιστές και tablet Dell. Θα μπορούσαν να επιτρέψουν τη δυνατότητα παράκαμψης προϊόντων ασφαλείας, εκτέλεσης κώδικα και περιστροφής σε άλλα μέρη του δικτύου για πλευρική κίνηση, σύμφωνα με το SentinelLabs.
[signoff]
