SentinelOne, leverancier van endpoint-bescherming, ontdekte een ernstige fout in de driver-software van HP-, Xerox- en Samsung-printers. Sinds 2005 leverden deze technologiebedrijven honderden miljoenen printers met dit kwetsbare stuurprogramma. HP bracht op 19 mei een beveiligingsupdate uit voor zijn klanten om dit beveiligingslek te verhelpen.
Process Hacker
Enkele maanden geleden, tijdens het configureren van een gloednieuwe HP-printer, kwam het SentinelLabs-team dankzij een waarschuwing van Process Hacker een oud printerstuurprogramma uit 2005 tegen met de naam SSPORT.SYS. Dit leidde tot de ontdekking van een zeer ernstige kwetsbaarheid in de driver-software van HP-, Xerox- en Samsung-printers die 16 jaar verborgen bleef. Het beveiligingslek treft een lange lijst met printermodellen.
Ernstig lek
HP produceerde al deze modellen. en daarom zijn de kwetsbaarheden aan hen gemeld. Ze kregen de naam CVE-2021-3438 en hebben een CVSS score van 8,8 op een schaal van 1-10. Met dit Common Vulnerability Scoring System (CVSS) beoordelen experts de ernst van beveiligingslekken.
Perfect doelwit
Door de printersoftware uit te voeren, wordt het stuurprogramma op het apparaat geïnstalleerd en geactiveerd, ongeacht. Dit gebeurt ook als een beheerder de installatie niet voltooit of annuleert. De installatie van het stuurprogramma geschiedt dus in feite zonder dit aan de gebruiker te vragen. Of deze hierover te informeren. Dit gebeurt bij zowel draadloze configuratie als verbinding via een USB-kabel. Bovendien wordt het stuurprogramma bij elke opstart door Windows geladen, zelfs als er geen printer is aangesloten. Dit maakt het stuurprogramma een perfect doelwit voor hackers.
Kopie
Het lijkt erop dat HP de driver-software niet zelf ontwikkelde, maar kopieerde van een project in Windows Driver Samples van Microsoft met een bijna identieke functionaliteit. Gelukkig bevat dit project de kwetsbaarheid niet.
Misbruik door aanvallers
Door succesvol een kwetsbaarheid in een stuurprogramma te misbruiken, kunnen aanvallers mogelijk programma’s installeren, gegevens bekijken, wijzigen, coderen of verwijderen. Of nieuwe accounts maken met volledige gebruiksrechten. Hoewel er tot nu toe geen aanwijzingen zijn dat hackers dit beveiligingslek uitbuiten, is het onvermijdelijk dat aanvallers op zoek gaan naar diegenen die niet de juiste actie ondernemen.
