È stata identificata una vulnerabilità vecchia di 16 anni nei driver delle stampanti HP, Samsung e Xerox: un suo eventuale sfruttamento potrebbe consentire ai criminal hacker di ottenere diritti di amministratore sui sistemi che utilizzano il software di controllo delle periferiche.
Secondo un rapporto pubblicato dai ricercatori di sicurezza di SentinelOne, “questa vulnerabilità di elevata gravità, presente nel software delle stampanti HP, Samsung e Xerox dal 2005, colpisce centinaia di milioni di dispositivi e milioni di utenti in tutto il mondo”.
Indice degli argomenti
Vulnerabilità nei driver delle stampanti: i dettagli
Il bug di sicurezza rilevato come CVE-2021-3438 è un overflow del buffer nel driver SSPORT.SYS per modelli di stampante specifici che potrebbe portare a un’escalation locale dei privilegi dell’utente.
Come scoperto dai ricercatori, il driver difettoso viene installato automaticamente con il software della stampante e verrà caricato da Windows dopo ogni riavvio del sistema.
Questo lo rende il bersaglio perfetto per i criminal hacker che hanno bisogno di un modo semplice per aumentare i privilegi, poiché il bug può essere abusato anche quando la stampante non è collegata al dispositivo preso di mira.
Questo bug permette, quindi, di richiedere l’accesso dell’utente locale, il che significa che gli attori delle minacce useranno l’utente locale come punto d’appoggio sui dispositivi presi di mira.
Una volta raggiunto questo obiettivo, i malintenzionati possono utilizzare il bug di sicurezza per aumentare i privilegi in attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Il risultato è che gli aggressori con privilegi utente di base possono elevare i propri privilegi a SYSTEM ed eseguire codice in modalità kernel, aggirando potenzialmente i software di sicurezza che bloccherebbero i loro attacchi o la consegna di payload dannosi aggiuntivi.
“Sfruttare con successo una vulnerabilità del driver potrebbe consentire agli aggressori di installare programmi, visualizzare, modificare, crittografare o eliminare dati o creare nuovi account con diritti utente completi”, spiegano i ricercatori di SentinelOne.
“Anche se non abbiamo riscontrato alcun indicatore che questa vulnerabilità sia stata sfruttata largamente fino ad ora, con centinaia di milioni di aziende e utenti attualmente vulnerabili, è inevitabile che gli aggressori cerchino coloro che non intraprendono azioni a riguardo”
Come mitigare il rischio di un attacco
Vista la gravità di questa “nuova” vulnerabilità, è importante che tutti gli utenti che hanno installato sui propri computer dei vecchi driver relativi alle stampanti interessate sono invitati ad aggiornarli al più presto.
Un elenco dei modelli di stampante interessati che utilizzano il driver vulnerabile è disponibile negli avvisi di sicurezza pubblicati sul sito di HP (ricordiamo che la casa americana ha da tempo acquisito la divisione stampanti di Samsung) e Xerox.
I clienti aziendali e domestici di HP, Xerox e Samsung sono invitati ad applicare le patch fornite dai fornitori il prima possibile.
