存在16年的驱动程序漏洞可让黑客执行恶意程序,影响HP、施乐等380款打印机

最近打印机用户可能会相当不安心。继微软爆出多个Windows打印多任务缓冲处理器漏洞,本周安全人员再披露一个打印机驱动程序漏洞,可能让攻击者在Windows机器上执行恶意程序。本漏洞影响HP、施乐及三星品牌打印机超过380款,HP、施乐呼吁用户应尽快更新驱动程序。

这项漏洞是由SentinelOne研究人员Kasif Dekel发现。他与该公司团队发现一个2005年推出的打印机驱动程序SSPORT.SYS存在权限升级漏洞,让没有权限的用户取得系统(System)权限而得以执行任意程序。

技术上,这漏洞源自该驱动程序以IOCTL利用字符串拷贝函数strncpy,从用户输入拷贝字符串时未验证大小的参数值,让用户输入过大值导致驱动程序使用的缓冲遭溢出。结果是攻击者取得系统权限,可在核心模式下执行程序代码,基本上他可以安装程序、读取、删改、加密资料,或是安装具完整权限的用户账号。

研究人员解释,该漏洞危险之处在于Windows用户无法避免。用户只要执行打印机就会自动安装并启动该驱动程序,过程中并不需取得用户同意,也未告知用户。而且每次开机,Windows就会重新加载这款驱动程序。不论用户是USB连接或是无线连接打印机都会加载这有漏洞的驱动程序。

该漏洞以编号CVE-2021-3438关注,CVSS 3.0风险评分为8.8,属于高风险漏洞。

安全公司指出,这项漏洞影响HP、三星超过380款打印机,以及十几款施乐(Xerox)打印机。其中包括HP彩雷150系列、多功能事务机(MFP)170系列,及激光打印机100系列。

研究人员2月间向厂商通报这项已存在16年的漏洞。HP已在5月发布修补安全公告。

施乐也于同月发布了修补程序。

但为以绝后患,研究人员建议,为减少攻击表面,开发人员在开发核心设备对象时,应强制执行安全性强的访问控制清单(ACL),验证用户输入资料,并且不要让核心模式运行暴露于通用接口。