【漏洞公布】CVE-2021-3438：隐藏 16 年——全球数百万打印机易受攻击

执行摘要

• SentinelLabs 在 HP、Samsung 和 Xerox 打印机驱动程序中发现了一个严重的缺陷。

• 自 2005 年以来，惠普、三星和施乐在全球范围内发布了数百万台带有易受攻击的驱动程序的打印机。

• SentinelLabs 的发现已于 2021 年 2 月 18 日主动报告给惠普，并被跟踪为 CVE-2021-3438，标记为 CVSS 评分 8.8。

• 惠普于 5 月 19 日向其客户发布了安全更新以解决此漏洞。

作为我们为所有用户确保互联网安全的承诺的一部分，我们的研究人员针对影响广泛最终用户的目标开展了一个开放式漏洞发现过程。我们的研究一直卓有成效，尤其是在 OEM 驱动程序领域[ 1 , 2 ]。许多这些驱动程序预装在设备上，或者在安装一些无害的合法软件包时被悄悄丢弃，用户完全不知道它们的存在。这些 OEM 驱动程序通常已有数十年历史，并且在编码时并不担心它们对这些系统的整体完整性的潜在影响。

我们的研究方法使我们能够主动与供应商和制造商合作，在它们被广泛利用之前修补以前未知的漏洞。我们将继续努力减少狡猾的对手可用的整体攻击面。

发现 HP 打印机驱动程序漏洞

几个月前，在配置全新的 HP 打印机时，由于 Process Hacker再次发出警报，我们的团队遇到了 2005 年的旧打印机驱动程序，名为 SSPORT.SYS 。

这导致在 HP、Xerox 和 Samsung 打印机驱动程序软件中发现了一个隐藏了 16 年的高严重性漏洞。此漏洞影响了超过 380 种不同的 HP 和三星打印机型号以及至少十几种不同的施乐产品。

一长串受影响的惠普和三星产品的开始

许多施乐产品也受到 CVE-2021-3438 的影响

由于所有这些型号实际上都是由 HP 制造的，因此我们向他们报告了该漏洞。

技术细节

只需运行打印机软件，无论您是完成安装还是取消安装，驱动程序都会在机器上安装并激活。

因此，实际上，该驱动程序甚至无需询问或通知用户即可安装和加载。无论您是将打印机配置为无线工作还是通过 USB 电缆工作，都会加载此驱动程序。此外，它会在每次启动时由 Windows 加载：

这使得驱动程序成为目标的完美候选者，因为即使没有连接打印机，它也将始终加载到机器上。

驱动程序中的漏洞函数通过 IOCTL（输入/输出控制）接受从用户模式发送的数据，而无需验证大小参数：

驱动程序内部易受攻击的函数

此函数使用用户strncpy控制的大小参数从用户输入复制字符串。本质上，这允许攻击者溢出驱动程序使用的缓冲区。

在调查这个驱动程序时，我们注意到一个有趣的事情是这个特殊的硬编码字符串："This String is from Device Driver@@@@ ".

易受攻击的驱动程序中的硬编码字符串

似乎惠普并未开发此驱动程序，而是从Microsoft Windows Driver Samples 中的一个项目中复制了它，该项目具有几乎相同的功能；幸运的是，MS 示例项目不包含该漏洞。

影响

可利用的内核驱动程序漏洞可将非特权用户引导至 SYSTEM 帐户并在内核模式下运行代码（因为易受攻击的驱动程序在本地可供任何人使用）。此类漏洞的明显滥用包括它们可用于绕过安全产品。

成功利用驱动程序漏洞可能允许攻击者安装程序、查看、更改、加密或删除数据，或者创建具有完全用户权限的新帐户。武器化这个漏洞可能需要链接其他错误，因为考虑到投入的时间，我们没有找到一种方法来单独武器化它。

建议

一般来说，强烈建议为了减少暴露 IOCTL 处理程序的设备驱动程序提供的攻击面，开发人员应该在创建内核设备对象时强制执行强 ACL，验证用户输入，而不是将通用接口暴露给内核模式操作。

修复

HP 安全咨询HPSBPI03724和 Xerox 咨询迷你公告 XRX21K中描述了此漏洞及其补救措施。我们建议 HP/Samsung/Xerox 客户，包括企业和消费者，尽快应用补丁。

为了缓解这个问题，用户应该使用这个链接并查找他们的打印机型号，然后下载补丁文件，如图所示：

一些 Windows 机器可能已经有了这个驱动程序，甚至没有运行专用的安装文件，因为该驱动程序通过 Windows 更新随 Microsoft Windows 一起提供：

注意：并非所有受影响的产品最初都列在咨询页面上。我们最初进行了小样本测试，发现其他产品易受攻击，因此我们建议进一步验证。

结论

自 2005 年以来，HP、Samsung 和 Xerox 打印机软件中一直存在这种严重性高的漏洞，影响了全球数百万台设备和数百万用户。与我们之前披露的隐藏了 12 年的漏洞类似 ( 1 , 2 )，这可能对未能修补的用户和企业产生深远而重大的影响。

虽然到目前为止我们还没有看到任何迹象表明此漏洞已被广泛利用，但目前有数百万台打印机型号易受攻击，如果攻击者将此漏洞武器化，他们将不可避免地寻找那些没有采取适当行动的人.

我们要感谢惠普对我们的披露和快速修复漏洞的方法。

披露时间表

2021 年 2 月 18 日——初步报告。

2021 年 2 月 23 日 – 我们通知惠普三星和施乐打印机存在同样的问题。

2021 年 5 月 19 日——惠普发布了 CVE-2021-3438 的公告。

2021 年 5 月 20 日——我们通知惠普“受影响产品”列表不完整，并提供了额外信息。

2021 年 6 月 1 日 – 惠普更新了受影响产品的列表。