Vulnerabilidad de 16 años en driver de HP expone a millones de computadoras
Investigadores han publicado detalles técnicos sobre una vulnerabilidad de escalada de privilegios de alta gravedad en los controladores de impresoras HP (también utilizados por Samsung y Xerox). La vulnerabilidad afecta a cientos de millones de máquinas con sistema operativo Windows.
Si se explota, los ciberataques podrían evadir los productos de seguridad. Además, los atacantes podrían instalar programas; ver, cambiar, cifrar o eliminar datos; o crear nuevas cuentas con derechos de usuario más amplios.
Los investigadores de SentinelOne dijeron que la vulnerabilidad (CVE-2021-3438) ha estado presente en los sistemas durante 16 años, pero fue descubierta hasta este año. La vulnerabilidad tiene una calificación de 8.8 de 10 en la escala CVSS, lo que la hace de alta gravedad.
Según los investigadores, la vulnerabilidad existe en una función dentro del controlador. La función acepta datos enviados desde el modo de usuario a través del control de entrada/salida (IOCTL); lo hace sin validar el parámetro de tamaño. Como sugiere su nombre, IOCTL es una llamada al sistema para operaciones de entrada/salida específicas del dispositivo.
“Esta función copia una cadena de la entrada del usuario usando ‘strncpy’ con un parámetro de tamaño que es controlado por el usuario. Básicamente, esto permite a los atacantes sobrepasar el búfer utilizado por el controlador”.
Análisis de SentinelOne
Por lo tanto, los usuarios sin privilegios pueden elevarse a una cuenta SYSTEM, lo que les permite ejecutar código en modo kernel. Esto porque el controlador vulnerable está disponible localmente para cualquier persona.
Ataque
El vector de ataque basado en impresoras es perfecto para los ciberdelincuentes, según SentinelOne. Recordemos que los controladores de impresora son esencialmente omnipresentes en las máquinas con Windows y se cargan automáticamente en cada inicio.
“Por lo tanto, en efecto, este controlador se instala y carga sin siquiera preguntar o notificar al usuario. Ya sea que estés configurando la impresora para que funcione de forma inalámbrica o mediante un cable USB, este controlador se carga. Además, Windows lo cargará en cada arranque. Esto hace que el controlador sea un candidato perfecto para el objetivo, ya que siempre se cargará en la máquina, incluso si no hay una impresora conectada”, afirmaron los investigadores.
Explotar la vulnerabilidad puede requerir encadenar otras vulnerabilidades para lograr el acceso inicial a un entorno. Hasta ahora, no se han observado ataques en el entorno.
Si bien no hemos visto ningún indicador de que esta vulnerabilidad haya sido explotada en el entorno hasta ahora, esto no significa que no se realizará. Existen cientos de millones de empresas y usuarios actualmente vulnerables. Por lo tanto, es inevitable que los atacantes busquen a aquellos que no toman las medidas adecuadas, advirtieron los investigadores.
Cómo corregir la vulnerabilidad del controlador de impresoras HP
Dado que la vulnerabilidad existe desde 2005, afecta a una lista muy larga de modelos de impresoras. Los modelos afectados y los parches asociados los puedes encontrar aquí y aquí .
Las vulnerabilidades de los controladores de dispositivos son frecuentes, por lo que SentinelOne también sugirió reducir la superficie de ataque con algunas mejores prácticas. Esto incluye la aplicación de listas de control de acceso (ACL) sólidas. Estas controlan el acceso a paquetes, carpetas y otros elementos (como servicios, tipos de documentos y especificaciones) a nivel de grupo. Y, es una buena idea verificar la entrada del usuario y no exponer una interfaz genérica a las operaciones del modo kernel.
Mientras HP lanza un parche (un controlador reparado), debe tenerse en cuenta que el certificado aún no ha sido revocado en el momento de redactar este artículo. Esto no se considera una buena práctica, ya que el controlador vulnerable todavía se puede utilizar en ataques de traer tu propio controlador vulnerable (BYOVD)”.
Es posible que algunas máquinas con Windows ya tengan el controlador vulnerable sin siquiera ejecutar un archivo de instalación dedicado, advirtieron los investigadores. Este viene con Microsoft Windows a través de Windows Update.
Esta vulnerabilidad de alta gravedad afecta a cientos de millones de dispositivos y millones de usuarios en todo el mundo. El impacto que esto podría tener en los usuarios y las empresas que no aplican los parches es de gran alcance y significativo.
SentinelOne ha encontrado vulnerabilidades anteriores, como un grupo que afecta al controlador de actualización de firmware de Dell que permaneció oculto durante 12 años.
En ese caso, revelado en mayo, se descubrió que cinco vulnerabilidades de seguridad de alta gravedad afectaban potencialmente a cientos de millones de computadoras de escritorio, laptops, notebooks y tablets Dell. Las vulnerabilidades tienen la capacidad de evadir productos de seguridad, ejecutar código y saltar a otras partes de la red para lograr un movimiento lateral.