16 年前的 HP 打印机驱动程序错误影响了数百万台 Windows 机器

该漏洞可能允许网络攻击者绕过安全产品、篡改数据并在内核模式下运行代码。研究人员发布了惠普打印机驱动程序（三星和施乐也使用）中的一个高严重性权限提升漏洞的技术细节，该漏洞影响了数亿台 Windows 机器。如果被利用，网络攻击者可以绕过安全产品；安装程序；查看、更改、加密或删除数据；或创建具有更广泛用户权限的新帐户。 SentinelOne 的研究人员表示，该漏洞 (CVE-2021-3438) 已经在系统中潜伏了 16 年，但直到今年才被发现。它在 CVSS 量表上获得 8.8 分（满分 10 分），使其成为高严重性。据研究人员称，该漏洞存在于驱动程序内部的一个函数中，该函数通过输入/输出控制 (IOCTL) 接受用户模式发送的数据；它这样做而不验证大小参数。顾名思义，IOCTL 是针对特定于设备的输入/输出操作的系统调用。根据周二发布的 SentinelOne 分析，“该函数使用 'strncpy' 从用户输入中复制一个字符串，其大小参数由用户控制。” “从本质上讲，这允许攻击者溢出驱动程序使用的缓冲区。”因此，根据该公司的说法，非特权用户可以将自己提升为 SYSTEM 帐户，允许他们在内核模式下运行代码，因为任何人都可以在本地使用易受攻击的驱动程序。

根据 SentinelOne 的说法，基于打印机的攻击媒介非常适合网络犯罪分子，因为打印机驱动程序在 Windows 机器上基本上无处不在，并且在每次启动时都会自动加载。研究人员解释说：“因此，实际上，该驱动程序甚至无需询问或通知用户就可以安装和加载。” “无论您是将打印机配置为无线工作还是通过 USB 电缆工作，都会加载此驱动程序。此外，它会在每次启动时由 Windows 加载。这使得驱动程序成为目标的完美候选者，因为即使没有连接打印机，它也将始终加载到机器上。”将漏洞武器化可能需要链接其他漏洞以实现对环境的初始访问。到目前为止，还没有观察到野外攻击。 “虽然到目前为止我们还没有看到任何迹象表明该漏洞已被广泛利用，目前有数亿企业和用户易受攻击，但攻击者不可避免地会寻找那些不采取适当行动的人， ”研究人员警告说。研究人员指出，由于该漏洞自 2005 年以来就存在，它影响了很长的打印机型号列表；可以在此处和此处找到受影响的模型和相关补丁。设备驱动程序漏洞并不少见，因此 SentinelOne 还建议通过一些最佳实践来减少攻击面，包括实施强大的访问控制列表 (ACL)，它控制对包、文件夹和其他元素（例如服务、文档类型和规格）在组级别。而且，他们补充说，验证用户输入而不是向内核模式操作公开通用接口是一个好主意。 SentinelOne 表示：“虽然惠普正在发布补丁（一个固定的驱动程序），但应该注意的是，在撰写本文时，该证书尚未被撤销。” “这不被认为是最佳实践，因为易受攻击的驱动程序仍可用于自带易受攻击的驱动程序 (BYOVD) 攻击。”

研究人员警告说，一些 Windows 机器可能已经有了易受攻击的驱动程序，甚至没有运行专门的安装文件，因为它通过 Windows Update 随 Microsoft Windows 一起提供。 SentinelOne 表示：“这种严重性高的漏洞影响了全球数亿台设备和数百万用户。” “这可能对无法修补的用户和企业产生深远而重大的影响。” SentinelOne 发现了以前的漏洞，例如影响戴尔固件更新驱动程序的一组漏洞，该漏洞隐藏了 12 年。在 5 月份披露的这种情况下，发现五个高严重性安全漏洞可能影响数亿台戴尔台式机、笔记本电脑、笔记本电脑和平板电脑。根据 SentinelLabs 的说法，它们可以允许绕过安全产品、执行代码并转向网络的其他部分进行横向移动。查看我们即将举行的免费直播和点播网络研讨会活动 -​​ 与网络安全专家和 Threatpost 社区进行独特、动态的讨论。