路由网近期,安全研究人员公开了惠普打印机驱动程序中存在的一个提权漏洞的技术细节,该驱动程序同样被三星和施乐公司采用。
此漏洞影响了过去十六年间的多个版本的驱动程序,可能影响到数亿台运行 Windows 系统的计算机。
攻击者可以通过此漏洞绕过安全防护软件,安装恶意软件,查看、修改、加密或删除数据,以及创建后门账户。
SentinelOne 的研究人员指出,这个漏洞(CVE-2021-3438)在 Windows 系统中已经潜伏了16年,直到今年才被发现。其 CVSS 评分为 8.8,是一个高风险漏洞。
漏洞存在于驱动程序中控制输入/输出(IOCTL)的函数,接收数据时未进行验证,导致
在复制字符串时长度可以由用户控制,从而可能溢出驱动程序的缓冲区。
因此,攻击者可以利用此漏洞提升到 SYSTEM 级别权限,从而在内核模式下执行代码。
攻击向量——存在漏洞的打印机驱动程序已在数百万台计算机中运行多年。基于打印机的攻击向量是犯罪分子青睐的理想工具,因为其驱动程序几乎存在于所有 Windows 计算机中,且会自动启动。
驱动程序无需用户通知即可安装和加载,无论是无线还是 USB 连接的打印机配置,都需要加载驱动程序。Windows 在启动时会自动加载该驱动程序。
这使得打印机驱动成为完美的入侵工具,即使在未连接打印机的情况下,驱动程序也会被加载。
截至目前,未观察到该漏洞的野外利用,但武器化需要其他漏洞的配合。尽管尚未发现广泛利用此漏洞的情况,但其攻击面非常大。“攻击者一定会采取行动”,安全人员警告说。
如何修复研究人员指出,该漏洞自2005年以来就存在,影响了众多打印机型号。用户可以根据列表查看具体的受影响型号及对应的补丁。SentinelOne 建议通过加强访问控制来缩小攻击面。
研究人员警告说,一些 Windows 机器可能已经安装了易受攻击的驱动程序。有些用户的驱动程序可能不是通过专用安装文件安装的,而是通过 Windows Update 进行安装与更新的,甚至带有微软的数字签名。
SentinelOne 表示:“这个高危漏洞影响了全球数亿台设备和数百万用户”,“这可能会对无法修补漏洞的用户和企业产生深远而重大的影响”。
SentinelOne 此前也发现了戴尔固件更新驱动程序中隐藏了12年的漏洞,共计5个高危漏洞可能影响数亿台戴尔台式机、笔记本电脑和平板电脑设备。
