Er is een 16 jaar oude kwetsbaarheid gevonden in de drivers van HP-, Samsung- en Xerox-laserprinters. Via de kwetsbaarheid zouden aanvallers adminrechten op de systemen van slachtoffers kunnen verkrijgen. Er zijn inmiddels patches uitgebracht, die het probleem verhelpen.
Cybersecuritybedrijf SentinelOne, dat het lek opmerkte, schrijft dat in totaal 'miljoenen verkochte printers' kwetsbaar zouden zijn. Het betreffen allemaal laserprinters. Het gaat om zeker 380 verschillende modellen van HP en Samsung, naast twaalf verschillende laserprinters van Xerox. Er zijn volgens SentinelOne geen aanwijzingen dat de kwetsbaarheid momenteel actief wordt misbruikt.
HP heeft inmiddels patches uitgebracht, die de kwetsbaarheid moeten oplossen. Die patch werkt op getroffen printers van HP en Samsung. Xerox heeft ook software-updates uitgebracht die het probleem moeten verhelpen. Gebruikers wordt aangeraden om de update zo snel mogelijk te installeren. De patches moeten ook beschikbaar komen via Windows Update.
De kwetsbaarheid staat bekend als CVE-2021-3438 en krijgt een hoge ernstigheidsscore van 7,8. Via de bug zouden hackers de kwetsbaarheid kunnen uitbuiten door een buffer overflow te veroorzaken in de ssport.sys-driver, waarmee hackers adminrechten kunnen verkrijgen. De kwetsbare driver wordt automatisch meegeïnstalleerd met de printersoftware van HP, Xerox en Samsung, en wordt automatisch geladen bij het opstarten, meldt SentinelOne. De kwetsbaarheid kan ook worden uitgebuit wanneer de printer niet is aangesloten.
Om dat te bereiken, moeten hackers echter eerst digitaal toegang krijgen tot het systeem van een slachtoffer. Hackers moeten dus eerst op een andere manier de computer van een slachtoffer binnendringen. Als de hackers dit bereiken, kunnen ze de beveiligingsfout relatief eenvoudig uitbuiten, zonder dat daarvoor extra interactie van het slachtoffer nodig is. Hackers kunnen daarna code in kernelmodus uitvoeren, waardoor ze bijvoorbeeld programma's kunnen installeren en bestanden kunnen bekijken, wijzigen of versleutelen.
Dit is de vierde aan printers gerelateerde kwetsbaarheid die in korte tijd aan het licht komt. Eind juni werd er bijvoorbeeld melding gemaakt van een zeroday in de Print Spooler Service van Windows, die overigens niet gerelateerd is aan de hierboven genoemde driverkwetsbaarheden van HP, Samsung en Xerox. Het eerste Print Spooler-probleem is inmiddels gepatcht, maar vorige week waarschuwde Microsoft voor nog een beveiligingsprobleem in de Print Spooler-dienst.
De kwetsbare driver, die automatisch wordt opgestart (links) en de patch via HP. Afbeeldingen via SentinelOne