Una vulnerabilidad de 16 años de antigüedad fue encontrada en un controlador de impresoras HP, Xerox y Samsung y permite a los atacantes obtener derechos de administrador en los sistemas que utilizan el software del controlador vulnerable.

Según un informe de SentinelOne.

"Esta vulnerabilidad de alta gravedad, que ha estado presente en el software de impresoras HP, Samsung y Xerox desde 2005, afecta a cientos de millones de dispositivos y millones de usuarios en todo el mundo".

Como descubrieron los investigadores, el controlador vulnerable se instala automáticamente con el software de la impresora y Windows lo cargará después de cada reinicio del sistema. Esto lo convierte en el objetivo perfecto para los atacantes que necesitan una forma fácil de escalar privilegios, ya que se puede abusar del error incluso cuando la impresora ya no esté conectada al dispositivo de destino.

¿En qué nos perjudica?

Una vulnerabilidad explotable del controlador del kernel puede llevar a un usuario sin privilegios a obtener una cuenta de tipo SYSTEM y ejecutar código en modo kernel (ya que el controlador vulnerable está disponible localmente para cualquier persona). Entre los abusos obvios de tales vulnerabilidades se encuentran aquellos que podrían usarse para eludir productos de seguridad.

La explotación exitosa de la vulnerabilidad de un controlador podría permitir a los atacantes instalar programas, ver, cambiar, cifrar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos. La explotación de esta vulnerabilidad podría requerir encadenar otros fallos de seguridad, ya que momentáneamente no se ha logrado convertirla en arma por sí sola en un periodo de tiempo reducido, pero dado que existen millones de modelos de impresoras afectadas es inevitable que un potencial atacante encuentre la forma de explotar esta vulnerabilidad en su formato vainilla.

Sugerimos...

Si se posee alguna impresora de marca HP, Samsung o Xerox sugerimos chequear este enlace para verificar si su modelo se encuentra alcanzado por la vulnerabilidad y para poder descargar y aplicar el parche del fabricante correspondiente a su modelo.

Por otra parte, tanto en términos generales de desarrollo de controladores como para reducir la superficie de ataque (una de las mejores prácticas en seguridad), recomendamos:

  • Aplicar matrices ACL fuertes al momento de crear objetos de dispositivo del kernel.
  • Verificar los posibles puntos de entrada del usuario.
  • Reducir a la mínima expresión posible  la exposición de interfaces genéricas a las operaciones del modo kernel (siendo ninguna el valor óptimo).

Fuente: Sentinel labs y SeguInfo