王英哲

近日，安全研究人員披露了惠普打印機(jī)驅(qū)動程序中存在提權(quán)漏洞的技術(shù)細(xì)節(jié)，該驅(qū)動程序也被三星與施樂公司所使用。該漏洞影響了16年間眾多版本的驅(qū)動程序，可能波及上億臺Windows計算機(jī)。攻擊者可以利用該漏洞執(zhí)行繞過安全防護(hù)軟件、安裝惡意軟件、查看、修改、加密、刪除數(shù)據(jù)和創(chuàng)建后門賬戶等操作。

SentinelOne的研究人員表示，該漏洞（CVE-2021-3438）已經(jīng)在Windows系統(tǒng)中潛伏了16年之久，直到今年才被發(fā)現(xiàn)，它的CVSS評分為8.8分，是一個高危漏洞。

該漏洞存在與驅(qū)動程序中控制輸入/輸出（IOCTL）的函數(shù)，在接收數(shù)據(jù)時沒有進(jìn)行驗(yàn)證。使得strncpy在復(fù)制字符串時長度可以被用戶控制。這就使得攻擊者可以溢出驅(qū)動程序的緩沖區(qū)。

因此，攻擊者可以利用該漏洞提權(quán)到SYSTEM級別，從而可以在內(nèi)核模式下執(zhí)行代碼。

攻擊向量———打印機(jī)

存在漏洞的驅(qū)動程序已在數(shù)百萬臺計算機(jī)中運(yùn)行了數(shù)年?；诖蛴C(jī)的攻擊向量是犯罪分子喜歡的完美工具，因?yàn)槠潋?qū)動程序幾乎在所有Windows計算機(jī)中都存在，而且會自動啟動。

驅(qū)動程序也無需告知用戶就可以進(jìn)行安裝和加載，無論將打印機(jī)配置為無線還是USB連接，都必須加載驅(qū)動程序，并且在啟動時，由Windows來加載該驅(qū)動程序。

使得打印機(jī)驅(qū)動成為了完美的入侵工具，即使在沒有連接打印機(jī)的情況下，驅(qū)動程序也會被加載。

目前為止，尚未觀察到該漏洞的在野利用，武器化也需要其他漏洞進(jìn)行配合?！氨M管沒有發(fā)現(xiàn)該漏洞已經(jīng)被廣泛利用，但存在問題的攻擊面極大，攻擊者一定會采取行動。”安全人員警告說。

如何修復(fù)

研究人員指出，該漏洞自從2005年以來就存在，影響了非常多的打印機(jī)型號。可以根據(jù)列表查看具體的受影響型號與對應(yīng)的補(bǔ)丁。SentinelOne建議通過加強(qiáng)訪問控制來減少攻擊面。

研究人員警告說，一些Windows機(jī)器可能已經(jīng)安裝了易受攻擊的驅(qū)動程序。有些用戶的驅(qū)動程序可能不是通過專門的安裝文件安裝的，可能是通過Windows Update進(jìn)行安裝與更新的，甚至還有微軟的數(shù)字簽名。

SentinelOne表示：“這個高危漏洞影響了全球數(shù)億臺設(shè)備和數(shù)百萬用戶，這可能會對無法修補(bǔ)漏洞的用戶和企業(yè)產(chǎn)生深遠(yuǎn)而重大的影響?！?/p>

SentinelOne此前也發(fā)現(xiàn)過戴爾固件更新驅(qū)動程序中存在隱藏了12年的漏洞，共計5個高危漏洞可能影響數(shù)億臺戴爾臺式機(jī)、筆記本電腦和平板電腦設(shè)備。