尽快修补!长达16年的安全漏洞影响了数百万台惠普、三星、施乐打印机 – 作者:中科天齐软件安全中心

在HP、Xerox和 Samsung打印机驱动程序中发现的一个存在16年的安全漏洞，允许攻击者使用易受攻击的驱动程序软件获得系统管理员权限。

根据发布的报告，“自2005年以来，HP、Samsung和Xerox打印机软件中就存在这种高严重性漏洞，影响了全球数亿台设备和数百万用户 。”

跟踪为CVE-2021-3438(CVSS 评分：8.8)，该问题涉及名为“SSPORT.SYS”的打印驱动程序安装程序包中的缓冲区溢出，该程序包可以启用远程特权和任意代码执行。迄今为止，全球已发布数亿台打印机，其中包含有问题的易受攻击的驱动程序。

但是，没有证据表明该缺陷在现实的攻击中被滥用。

攻击者可利用漏洞绕过安全防护

有问题的驱动程序会自动与打印机软件一起安装，并会在每次系统重新启动后由Windows加载。

这使得它成为攻击者的完美目标，他们需要一种简单的方式来升级特权，因为即使打印机没有连接到目标设备，该漏洞也可能被滥用。

成功利用该漏洞需要本地用户访问，这意味着威胁参与者需要首先在目标设备上站稳脚跟。

一旦实现这一点，他们就可以在不需要用户交互的情况下，滥用安全漏洞来升级低复杂度攻击中的特权。

结果是具有基本用户权限的攻击者可以将他们的权限提升到 SYSTEM ，并在内核模式下运行代码，从而有可能绕过会阻止其攻击或传递额外恶意负载的安全产品。

成功利用驱动程序漏洞可能允许攻击者安装程序、查看、更改、加密或删除数据，或者创建具有完全用户权限的新帐户。

虽然到目前为止，还未看到任何迹象表明该漏洞已被广泛利用，但目前有数亿企业和用户容易受到攻击，攻击者不可避免地会寻找那些不采取适当行动的人。

有趣的是，HP似乎从微软发布的一个几乎相同的Windows驱动程序示例中复制了该驱动程序的功能，尽管示例项目本身并不包含该漏洞。

这不是第一次在旧的软件驱动程序中发现安全漏洞。今年5月初，网络安全公司披露了有关戴尔固件更新驱动程序“ dbutil_2_3.sys ”中多个关键权限提升漏洞的详细信息，该漏洞已被披露超过12年。

敦促用户尽快更新

使用易受攻击驱动程序的打印机型号列表可以在HP的安全公告和Xerox安全迷你公告中找到。

敦促惠普、施乐和三星企业和家庭客户尽快应用这两家供应商提供的补丁。

研究人员补充说：“一些 Windows机器可能已经有了这个驱动程序，甚至没有运行专门的安装文件，因为这个驱动程序通过Windows Update随Microsoft Windows一起提供。

今年早些时候，研究人员在Microsoft Defender Antivirus(前身为 Windows Defender)中发现了一个存在12年之久的权限提升漏洞，该漏洞可以让攻击者在未打补丁的Windows系统上获得管理员权限。

根据Microsoft的统计，Microsoft Defender Antivirus是超过10亿个运行Windows 10的系统的默认反恶意软件解决方案。

有调查显示，旧的安全漏洞在黑客论坛中关注度依旧很高，这就意味着那些没有按时更新软件漏洞补丁的企业被黑客攻击的潜在风险很大。尤其黑客不断扫描网络中存在的漏洞准备随时发起攻击，软件存在安全漏洞就意味着给黑客以可乘之机。

建议企业除了安装防护软件之外，及时检测、发现网络系统中的薄弱环节，并进行维护和修补，减小被黑客盯上的概率。同时，对于软件开发企业，不应只关注在软件开发的功能和效率，同时要将安全问题融入至开发周期当中，尤其经常被忽略的代码缺陷等问题。在静态代码安全检测中，不但可以查找、定位代码的缺陷问题，同时还能检测出一些不需要运行即可发现的问题，如XXS,注入漏洞、缓冲区溢出等。

软件安全关系着数据安全，影响着网络安全。希望各企业在原来基础上更重视网络安全问题，提高软件等安全防护的同时，加强网络安全防范意识。

参读链接：

https://www.woocoom.com/b021.html?id=f6ba116afac74acb8272f51f13c9b149

https://thehackernews.com/2021/07/16-year-old-security-bug-affects.html

https://www.bleepingcomputer.com/news/security/16-year-old-bug-in-printer-software-gives-hackers-admin-rights/

来源：freebuf.com 2021-07-22 10:36:05 by: 中科天齐软件安全中心