ИБ-эксперты нашли в драйверах к принтерам HP, Samsung и Xerox опасную брешь, которую хакеры могли эксплуатировать для получения прямого доступа к ПК. «Дыра» появилась в драйверах еще в 2005 г., но устранили ее лишь спустя 16 лет.
Почти совершеннолетняя уязвимость
В драйверах к принтерам компаний HP, Samsung и Xerox обнаружена уязвимость, позволяющая взламывать компьютеры и повышать привилегии пользователя до уровня администратора. По информации портала TheRecord.Media, проблема существовала 16 лет, а обнаружить ее удалось лишь в 2021 г.
Брешь выявили в феврале 2021 г. эксперты компании SentinelOne, работающей в области информационной безопасности. Ей присвоили идентификатор CVE-2021-3438.
По утверждению специалистов, уязвимость появилась в коде драйвера в 2005 г., то есть еще во времена Windows XP и за два года до выхода ныне устаревшей Windows Vista. За эти годы HP на пару с Samsung и Xerox выпустили миллионы принтеров, работающих с этим драйвером. Например, Samsung и HP разработали 380 моделей таких печатающих устройств, а Xerox – еще 16. Суммарное количество поступивших в продажу принтеров, использующих «дырявый браузер», не установлено.
Как утверждают сотрудники SentinelOne, на 20 июля 2021 г. в мире не было зафиксировано ни одного случая использования CVE-2021-3438. Тем не менее, этой уязвимости как минимум 16 лет, что значительно увеличивает вероятность осведомленности о ней хакеров-одиночек и киберпреступных группировок.
Что делает уязвимость
Согласно описанию уязвимости, предоставленному SentinelOne, CVE-2021-3438 – это брешь переполнения буфера в файле SSPORT.SYS драйвера печати. Хакеры могут использовать ее для повышения своих прав в ОС на компьютере жертвы.
Подобный ход даст им полный контроль над этим компьютером. Они смогут, к примеру, получить доступ ко всем файлам на нем, а также права администратора или запустить на нем любое нужное им вредоносное ПО.
Со слов эксперта SentinelOne Асафа Амира (Asaf Amir), в ряде случаев, чтобы оказаться в зоне риска, пользователю даже не нужно самостоятельно устанавливать дырявый драйвер принтера. Амир утверждает, что этот драйвер может появиться в Windows при первом же подключении принтера к компьютеру, если на нем есть доступ в интернет и не отключен «Центр обновления Windows».
Если просто отключить принтер от компьютера, проблему это не решит. Нужно или полностью удалять драйвер, или ставить его новую безопасную версию.
Производители все исправили
Специалисты SentinelOne обнаружили CVE-2021-3438 еще в феврале 2021 г. На 20 июля 2021 г. она была исправлена компанией HP – обновленный драйвер для ее принтеров, а также для принтеров Samsung можно скачать с сайта компании. Xerox тоже разместила драйвер со встроенным патчем на своем портале – на момент публикации материала он тоже был доступен для скачивания.
Компания Samsung не стала самостоятельно выпускать отдельный драйвер для принтеров, поскольку больше не занимается производством устройств для печати. Как сообщал CNews, свой принтерный бизнес она продала компании HP еще пять лет назад, в сентябре 2016 г. Сумма сделки составила $1 млрд.
Принтеры как инструмент для взлома
Домашние и офисные принтеры нередко становятся незапертыми «воротами» для хакеров, желающих пробраться на чужой компьютер. Часто в подобной ситуации оказываются принтеры HP как лидера мирового рынка.
Инновации и стартапы
По итогам I квартала 2021 г. у HP была 42,4-процентная доля в глобальных поставках принтеров (статистика Statista.com). В тройку лидеров также входили Canon и Epson 18,5% и 19,4% соответственно, за ними шли Brother (7,2%) и Kyocera Group (1,8%). Все остальные компании поделили оставшиеся 10,8% рынка.
CNews писал, что в августе 2017 г. в более чем 50 моделях принтеров HP бизнес-класса была найдена крупная уязвимость. Ее обнаружили специалисты сообщества FoxGlove Security, и ей была присвоена метка CVE-2017-2750.
Она, как и CVE-2021-3438, позволяла исполнять вредоносный код. HP исправила брешь лишь в конце ноября 2017 г.
В начале июля 2021 г. была найдена новая «дыра», затрагивающая принтеры, но на этот раз она была не в их ПО, а непосредственно в ОС Windows. Она открывала хакерам полный доступ к ПК и серверам через «Диспетчер печати».
У Microsoft поначалу не было готового патча, и она рекомендовала всем отключить эту службу и тем самым лишиться возможности печатать документы. Через несколько дней патч был готов, но его установка ломала работу принтеров ряда известных производителей.