Un error del controlador de impresora HP de 16 años afecta a millones de máquinas con Windows - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Un error del controlador de impresora HP de 16 años afecta a millones de máquinas con Windows

Hola y mil gracias por leerme. Yo soy Eduardo Arroyo y en esta ocasión te voy a contar sobre Un error del controlador de impresora HP de 16 años afecta a millones de máquinas con Windows

Un error del controlador de impresora HP de 16 años afecta a millones de máquinas con Windows

El error podría permitir a los atacantes cibernéticos eludir los productos de seguridad, manipular datos y ejecutar código en modo kernel.

Los investigadores publicaron detalles técnicos sobre una falla de escalada de privilegios de alta gravedad en los controladores de impresora HP (también utilizados por Samsung y Xerox), que afecta a cientos de millones de máquinas con Windows.

Si se explota, los ciberdelincuentes podrían pasar por alto los productos de seguridad; instalar programas; ver, modificar, cifrar o eliminar datos; o cree nuevas cuentas con derechos de usuario más extendidos.

El error (CVE-2021-3438) ha estado al acecho en los sistemas durante 16 años, dijeron los investigadores de SentinelOne, pero solo se descubrió este año. Tiene una puntuación de 8,8 sobre 10 en la escala CVSS, por lo que es de alta gravedad.

Según los investigadores, la vulnerabilidad reside en una función dentro del controlador que acepta datos enviados desde el modo de usuario a través del control de entrada / salida (IOCTL); lo hace sin validar el parámetro de tamaño. Como sugiere su nombre, IOCTL es una llamada al sistema para operaciones de entrada / salida específicas del dispositivo.

«Esta función copia una cadena de la entrada del usuario usando ‘strncpy’ con un parámetro de tamaño controlado por el usuario», según el análisis de SentinelOne, publicado el martes. «Básicamente, esto permite a los atacantes sobrepasar el búfer utilizado por el controlador».

Por lo tanto, los usuarios sin privilegios pueden elevarse a una cuenta SYSTEM, lo que les permite ejecutar código en modo kernel, ya que el controlador vulnerable está disponible localmente para cualquier persona, según la compañía.

El vector de ataque basado en impresora es perfecto para los ciberdelincuentes, según SentinelOne, ya que los controladores de impresora son prácticamente omnipresentes en las computadoras con Windows y se cargan automáticamente en cada inicio.

«Entonces, en efecto, este controlador se instala y carga sin siquiera preguntar o notificar al usuario», explicaron los investigadores. “Ya sea que esté configurando la impresora para que funcione de forma inalámbrica o mediante un cable USB, este controlador se carga. Además, Windows lo cargará en cada arranque. Esto hace que el controlador sea un candidato perfecto para apuntar, ya que siempre se cargará en la máquina incluso si no hay una impresora conectada.

El arma del error puede requerir encadenar otras vulnerabilidades para obtener acceso inicial a un entorno. Hasta el momento no se han observado ataques en la naturaleza.

«Si bien no hemos visto ningún indicador de que esta vulnerabilidad haya sido explotada en la naturaleza hasta ahora, con cientos de millones de empresas y usuarios actualmente vulnerables, es inevitable que los atacantes busquen a aquellos que no toman las medidas adecuadas», advirtió. .investigadores.

Como el error existe desde 2005, afecta a una lista muy larga de modelos de impresoras, anotaron los investigadores; modelos afectados y parches asociados pueden ser encontrado aquí es Aquí.

Las vulnerabilidades de los controladores de dispositivos no son infrecuentes, por lo que SentinelOne también sugirió reducir la superficie de ataque con algunas mejores prácticas, incluida la aplicación de listas de control de acceso (ACL) sólidas, que controlan el acceso a paquetes, carpetas y otros elementos (como servicios, tipos de documentos y especificaciones). a nivel de grupo. Y es una buena idea verificar la entrada del usuario y no exponer una interfaz genérica a las operaciones del modo kernel, agregaron.

«Si bien HP lanza un parche (un controlador fijo), debe tenerse en cuenta que el certificado aún no ha sido revocado en el momento de redactar este documento», según SentinelOne. «Esto no se considera una práctica recomendada, ya que el controlador vulnerable aún se puede utilizar en los ataques Traiga su propio controlador vulnerable (BYOVD)».

Es posible que algunas máquinas con Windows ya tengan el controlador vulnerable sin siquiera ejecutar un archivo de instalación dedicado, advirtieron los investigadores, ya que viene con Microsoft Windows a través de Windows Update.

«Esta vulnerabilidad de alta gravedad afecta a cientos de millones de dispositivos y millones de usuarios en todo el mundo», según SentinelOne. «El impacto que esto podría tener en los usuarios y las empresas que no apliquen el parche es de gran alcance y significativo».

SentinelOne ha encontrado vulnerabilidades anteriores, como un grupo que afecta al controlador de actualización de firmware de Dell, que ha estado oculto durante 12 años. En ese caso, revelado en mayo, se encontraron cinco agujeros de seguridad de alta gravedad que potencialmente impactan a cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas Dell. Según SentinelLabs, podrían permitir la capacidad de omitir productos de seguridad, ejecutar código y rotar a otras partes de la red para el movimiento lateral.

.

Recuerda compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *