
Hunderte von Millionen von Geräten enthalten Treiber mit einer Schwachstelle, die seit dem Jahr 2005 besteht und potenzielle Angriffe durch Ausweitung von Nutzerrechten ermöglicht. Ein Treiberupdate zur Fehlerbehebung wurde via Patch von HP veröffentlicht.
Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht. Weltweit wurden seit dem Jahr 2005 Hunderte von Millionen von Druckern mit dem anfälligen Treiber ausgeliefert. Die Ergebnisse von SentinelLabs wurden am 18. Februar 2021 proaktiv an HP gemeldet und werden als CVE-2021-3438 mit dem CVSS-Score 8.8 geführt. HP hat am 19. Mai ein Sicherheitsupdate für seine Kunden veröffentlicht, um die Schwachstelle zu beheben. Zum jetzigen Zeitpunkt gibt es noch keine Beweise für aktive oder erfolgreiche Angriffe auf Basis der Sicherheitslücke, allerdings birgt die Schwachstelle Möglichkeiten für Angreifer, Malware über Drucker in Systeme einzuschleusen.
Ausnutzung durch Erweiterung von Zugriffsrechten
Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer gefragt oder benachrichtigt wird – unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird. Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist.
Die anfällige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus über IOCTL (Input/Output Control) gesendet werden, ohne den Größenparameter zu validieren. Dies ermöglicht Angreifern einen Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem SYSTEM-Konto führen und Code im Kernel-Modus ausführen. So können unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu ändern, zu verschlüsseln oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario wäre beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und daraufhin Lösegeldforderungen zu stellen.
Gegenmaßnahmen
Die Sicherheitslücke und die notwendigen Abhilfemaßnahmen sind im HP Security Advisory HPSBPI03724 und im Xerox Advisory Mini Bulletin XRX21K beschrieben. Benutzer von HP-, Xerox- und Samsung-Druckern – sowohl Unternehmen als auch Privatkunden – sollten den zur Verfügung gestellten Patch so bald wie möglich installieren. Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der verwundbare Treiber kann potenziell immer noch für BYOVD (bring your own vulnerable driver)-Angriffe verwendet werden.
Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden Sie im vollständigen Bericht von SentinelLabs: https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable
SentinelOne empfiehlt Nutzern außerdem die Supportseite von HP zu besuchen, wo sie ihr Druckermodell eingeben, und die zugehörige Patch-Datei herunterladen können: https://support.hp.com/us-en/drivers/printers
Fachartikel

LIVE WEBINAR: Erkennen und Verwalten von Cyber-Risiken im erweiterten Zulieferer-Netzwerk

Künstliche Intelligenz und Datenethik: Vier Tipps, wie Unternehmen beides in Einklang bringen können

Gemeinsam Cyberbedrohungen den Garaus machen

LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum

Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
Studien

Isolierte Kubernetes-Implementierungen erhöhen die Kosten und die Komplexität und können zu Datenverlusten führen

Studie: Zero Trust ist mittlerweile ein Thema der Vorstandsetagen, entsprechende Sicherheitsstrategien verzeichnen ein Rekordwachstum um 500 %

Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten

IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen

Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner
Whitepaper

Zahl der DDoS-Attacken im ersten Halbjahr mehr als verdreifacht

Das Erwachen der LNK-Dateien: Cyber-Kriminelle setzen bei Angriffen auf Verknüpfungen

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück
