Bug em software de impressoras concede privilégios a invasores

Da Redação
20/07/2021

Uma vulnerabilidade de segurança de 16 anos encontrada em um driver de impressoras HP, Xerox e Samsung permite que invasores obtenham direitos de administrador. 

A falha, de alta gravidade, está presente no software das impressoras desde 2005 e afeta centenas de milhões de dispositivos e milhões de usuários em todo o mundo, de acordo com um relatório do SentinelOne, publicado nesta terça-feira, 20.

A falha de segurança, identificada como CVE-2021-3438, é um estouro de buffer no driver SSPORT.SYS para modelos de impressoras específicos que podem levar a um aumento dos privilégios do usuário.

Como os pesquisadores descobriram, o driver com erros é instalado automaticamente com o software da impressora e será carregado pelo Windows após cada reinicialização do sistema. Isso o torna o alvo perfeito para invasores que precisam de uma maneira fácil de escalar privilégios, uma vez que o bug pode ser explorado mesmo quando a impressora não está conectada ao dispositivo de destino.

A exploração bem-sucedida requer acesso do usuário local, o que significa que os operadores da ameaça precisarão primeiro ter alcance aos dispositivos visados. Assim que isso for conseguido, eles podem explorar o bug de segurança para aumentar os privilégios em ataques de baixa complexidade, sem exigir a interação do usuário.

O resultado é que os invasores com privilégios básicos de usuário podem elevar seus privilégios para “sistema” e executar código no modo kernel, potencialmente contornando ferramentas de segurança que bloqueariam ataques ou a entrega de cargas adicionais maliciosas.

“Explorar com sucesso uma vulnerabilidade de driver pode permitir que os invasores potencialmente instalem programas, exibam, alterem, criptografem ou excluam dados ou criem novas contas com direitos totais do usuário”, explica SentinelOne. “Embora não tenhamos nenhum indicador de que essa vulnerabilidade tenha sido explorada até agora, com centenas de milhões de empresas e usuários atualmente vulneráveis, é inevitável que os invasores procurem aqueles que não realizam as ações apropriadas”, diz relatório da empresa.

Veja isso
HP adere a programa para segurança de impressoras
Pesquisadores invadem e utilizam 28 mil impressoras desprotegidas na web

Usuários estão sendo orientados pelas empresas a atualizar o mais rápido possível. Uma lista de modelos de impressora afetados usando o driver vulnerável pode ser encontrada no comunicado de segurança da HP e no miniboletim de segurança da Xerox. Os clientes corporativos e domésticos da HP, Xerox e Samsung devem aplicar os patches fornecidos pelos dois fornecedores o mais rápido possível.

“Algumas máquinas com Windows podem já ter esse driver sem nem mesmo executar um arquivo de instalação dedicado, já que esse driver vem com o Microsoft Windows via Windows Update”, acrescentaram os pesquisadores da SentinelOne.

No início deste ano, pesquisadores do SentinelOne descobriram um bug de escalonamento de privilégios de 12 anos no Microsoft Defender Antivirus (antigo Windows Defender) que pode permitir que invasores obtenham direitos de administrador em sistemas Windows não corrigidos.

O Microsoft Defender Antivirus é a solução antimalware padrão em mais de 1 bilhão de sistemas que executam o Windows 10, de acordo com as estatísticas da Microsoft.

Compartilhar: