idNSA.id - Peneliti dari SentinelOne menemukan kerentanan keamanan berusia 16 tahun (CVE-2021-3438) di driver printer HP, Xerox, dan Samsung yang memungkinkan attacker mendapatkan hak admin pada sistem yang menjalankan driver yang cacat.
Penemuan ini dilakukan secara tidak sengaja beberapa bulan yang lalu, ketika para ahli sedang mengonfigurasi printer HP baru, dan memperhatikan bahwa driver printer lama dari tahun 2005 bernama SSPORT.SYS memicu peringatan oleh Process Hacker.
“Ini mengarah pada penemuan kerentanan tingkat keparahan yang tinggi pada perangkat lunak driver printer HP, Xerox, dan Samsung yang tetap tidak diungkapkan selama 16 tahun. Kerentanan ini memengaruhi daftar panjang lebih dari 380 model printer HP dan Samsung yang berbeda serta setidaknya yang berbeda.” membaca analisis yang diterbitkan oleh SentinelOne.
Kerentanan, dilacak sebagai CVE-2021-3438, adalah buffer overflow yang berada di driver SSPORT.SYS yang digunakan oleh beberapa model printer.
Setelah menginstal perangkat lunak printer, driver selalu diinstal dan diaktifkan pada mesin, bahkan ketika instalasi dibatalkan. Penyerang dengan hak pengguna dasar dapat meningkatkan hak istimewa mereka ke SISTEM dan menjalankan kode dalam mode kernel, dengan cara ini kode berbahaya dapat menghindari deteksi produk keamanan.
“Berhasil mengeksploitasi kerentanan driver memungkinkan attacker untuk berpotensi menginstal program, melihat, mengubah, mengenkripsi atau menghapus data, atau membuat akun baru dengan hak pengguna penuh. Mempersenjatai kerentanan ini mungkin memerlukan rantai bug lain karena kami tidak menemukan cara untuk mempersenjatai itu sendiri mengingat waktu yang diinvestasikan. lanjut analisa.
“Berhasil mengeksploitasi kerentanan driver mungkin memungkinkan penyerang untuk berpotensi menginstal program, melihat, mengubah, mengenkripsi atau menghapus data, atau membuat akun baru dengan hak pengguna penuh,” jelas SentinelOne.
HP telah menerbitkan nasihat keamanan ( HPSBPI03724 ) yang menyertakan daftar model printer yang terpengaruh. Xerox juga menerbitkan Mini Bulletin (XRX21K) penasihat keamanan untuk mendesak pelanggan mengatasi kerentanan.
“Meskipun kami belum melihat indikator bahwa kerentanan ini telah dieksploitasi secara umum sampai sekarang, dengan jutaan model printer saat ini rentan, tidak dapat dihindari bahwa jika penyerang mempersenjatai kerentanan ini, mereka akan mencari mereka yang tidak mengambil yang sesuai. tindakan." pungkas SentinelOne.
Di bawah ini adalah garis waktu pengungkapan untuk cacat ini:
18 Februari 2021 – Laporan awal.
23 Feb, 2021 – Kami memberi tahu HP bahwa masalah yang sama ada di printer Samsung dan Xerox.
19 Mei 2021 – HP merilis saran untuk CVE-2021-3438.
20 Mei 2021 – Kami memberi tahu HP bahwa daftar “produk yang terpengaruh” tidak lengkap dan memberikan informasi tambahan.
01 Juni 2021 – HP memperbarui daftar produk yang terpengaruh.
