Spätestens seit der "PrintNightmare" genannten Windows-Sicherheitslücke sollten Nutzer von Netzwerkdruckern für die Gefahren unsicherer Drucker sensibilisiert sein. Da die Drucker-Hersteller das Prinzip "Security by Design" trotz einiger Bemühungen um die Sicherheit der von ihnen ausgelieferten Geräte noch nicht wirklich verinnerlicht haben, ist jedoch damit zu rechnen, das auch künftig noch Sicherheitslücken entdeckt und ausgenutzt werden - zumal viele Hersteller in der Vergangenheit eher auf Hinweise zur Sicherheit ihrer Druckgeräte eher zögerlich reagierten.
Diesmal allerdings ging es schnell: HP wurde die Lücke am 18. Februar gemeldet und das Unternehmen hat am 19. Mai einen Patch zur Verfügung gestellt. Der sollte nun aber auch umgehend eingespielt werden. Denn da die Lücke CVE-2021-3438 nun öffentlich bekannt gemacht wurde, ist damit zu rechnen, dass sie auch bald ausgenutzt wird.
Entdeckt haben die Schwachstelle die Sicherheitsforscher von SentinelOne. Bislang liegen noch keine Hinweise darauf vor, dass sie bereits für Angriffe ausgenutzt wurde. Allerdings bietet die Sicherheitslücke für Angreifer die Möglichkeit, Malware über Drucker in Firmennetzwerke einzuschleusen. Der hohe CVSS-Score von 8,8 sollte aufhorchen lassen.
"Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer gefragt oder benachrichtigt wird - unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird", teilt SentinelOne mit. "Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist."
Angriffsweg und Abwehrmöglichkeiten
Die fehlerhaft implementierte Funktion in dem Treiber validiert den Größenparameter im Benutzermodus über IOCTL (Input/Output Control) gesendeter Daten nicht. Angreifer können so einen Buffer Overrun im Treiber verursachen. Ein nicht-privilegierter Benutzer kann anschließend Zugriff auf eine System-Konto erhalten und Code im Kernel-Modus ausführen. Er kann dann unter anderem also Sicherheitsprogramme umgehen, um Malware zu installieren, sich Daten anzeigen zu lassen, sie zu ändern, zu verschlüsseln oder zu löschen. Auch könnte er neue Konten mit vollen Benutzerrechten erstellen.
Sowohl HP (das 2016 die Druckersparte von Samsung übernommen hat) als auch Xerox haben für ihre Kunden bereits Sicherheitsempfehlungen veröffentlicht (HP Security Advisory HPSBPI03724 und Xerox Advisory Mini Bulletin XRX21K). "Benutzer von HP-, Xerox- und Samsung-Druckern - sowohl Unternehmen als auch Privatkunden - sollten den zur Verfügung gestellten Patch so bald wie möglich installieren", empfiehlt SentinelOne. "Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der angreifbare Treiber könnte daher immer noch für Angriffe verwendet werden.