Han surgido detalles sobre una vulnerabilidad de seguridad de alta gravedad que afecta a un controlador de software utilizado en impresoras HP, Xerox y Samsung que no ha sido detectada desde 2005.
Registrado como CVE-2021-3438 (puntuación CVSS: 8.8), el problema se refiere a un desbordamiento del búfer en un paquete de instalación de controlador de impresión llamado «SSPORT.SYS» que puede habilitar privilegios remotos y ejecución de código arbitrario. Hasta la fecha, se han lanzado cientos de millones de impresoras en todo el mundo con el controlador vulnerable en cuestión.
Sin embargo, no hay evidencia de que se haya abusado de la falla en ataques del mundo real.
«Un potencial desbordamiento del búfer en los controladores de software para ciertos productos HP LaserJet e impresoras de productos Samsung podría conducir a una escalada de privilegios», según un aviso publicado en mayo.
El problema fue informado a HP por investigadores de inteligencia de amenazas de SentinelLabs el 18 de febrero de 2021, luego de lo cual se publicaron soluciones para las impresoras afectadas a partir del 19 de mayo de 2021.
Específicamente, el problema depende del hecho de que el controlador de la impresora no desinfecta el tamaño de la entrada del usuario, lo que potencialmente permite a un usuario sin privilegios escalar privilegios y ejecutar código malicioso en modo kernel en sistemas que tienen instalado el controlador con errores. ahora
«La función vulnerable dentro del controlador acepta datos enviados desde el modo de usuario a través de IOCTL (control de entrada / salida) sin validar el parámetro de tamaño», dijo el investigador de SentinelOne, Asaf Amir , en un informe compartido con The Hacker News. «Esta función copia una cadena de la entrada del usuario usando ‘ strncpy ‘ con un parámetro de tamaño que es controlado por el usuario. Esencialmente, esto permite a los atacantes invadir el búfer utilizado por el controlador».
Curiosamente, parece que HP copió la funcionalidad del controlador de una muestra de controlador de Windows casi idéntica publicada por Microsoft, aunque el proyecto de muestra en sí mismo no contiene la vulnerabilidad.
Esta no es la primera vez que se descubren fallas de seguridad en controladores de software antiguos. A principios de mayo, SentinelOne reveló detalles sobre múltiples vulnerabilidades críticas de escalada de privilegios en el controlador de actualización de firmware de Dell llamado » dbutil_2_3.sys » que no se reveló durante más de 12 años.