Hunderte Millionen von Geräten enthalten Treiber mit einer Schwachstelle, die seit dem Jahr 2005 besteht und potenzielle Angriffe durch Ausweitung von Nutzerrechten ermöglicht. Ein Treiberupdate zur Fehlerbehebung wurde via Patch von HP veröffentlicht.
Die Sicherheitsforscher von Sentinellabs, der Research-Einheit von Sentinelone, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht. Weltweit wurden seit dem Jahr 2005 Hunderte Millionen von Druckern mit dem anfälligen Treiber ausgeliefert. Die Ergebnisse wurden am 18. Februar 2021 proaktiv an HP gemeldet und werden als CVE-2021-3438 mit dem CVSS-Score 8.8 geführt. HP hat am 19. Mai 2021 ein Sicherheitsupdate für seine Kunden veröffentlicht, um die Schwachstelle zu beheben. Zum jetzigen Zeitpunkt gibt es noch keine Beweise für aktive oder erfolgreiche Angriffe auf Basis der Sicherheitslücke, allerdings birgt die Schwachstelle Möglichkeiten für Angreifer, Malware über Drucker in Systeme einzuschleusen.
Ausnutzung durch Erweiterung von Zugriffsrechten
Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer gefragt oder benachrichtigt wird – unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird. Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist. Die anfällige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus über IOCTL (Input/Output Control) gesendet werden, ohne den Grössenparameter zu validieren. Dies ermöglicht Angreifern einen Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem System-Konto führen und Code im Kernel-Modus ausführen. So können unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu ändern, zu verschlüsseln oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario wäre beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und daraufhin Lösegeldforderungen zu stellen.
Gegenmassnahmen
Die Sicherheitslücke und die notwendigen Abhilfemassnahmen sind im HP Security Advisory HPSBPI03724 und im Xerox Advisory Mini Bulletin XRX21K beschrieben. Benutzer von HP-, Xerox- und Samsung-Druckern – sowohl Unternehmen als auch Privatkunden – sollten den zur Verfügung gestellten Patch so bald wie möglich installieren. Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der verwundbare Treiber kann potenziell immer noch für BYOVD (bring your own vulnerable driver)-Angriffe verwendet werden.
Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems sind im vollständigen Bericht von Sentinellabs erhältlich: https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable.
Sentinelone empfiehlt Nutzern ausserdem die Supportseite von HP zu besuchen, wo sie ihr Druckermodell eingeben, und die zugehörige Patch-Datei herunterladen können: https://support.hp.com/us-en/drivers/printers.
