大家好,我是讯享网,大家多多关注。
最近,安全研究人员披露了惠普打印机驱动程序中一个特权漏洞的技术细节,三星和施乐也在使用该漏洞。
这个漏洞在16年影响了很多版本的驱动,可能会影响上亿台Windows电脑。
攻击者可以利用该漏洞绕过安全防护软件,安装恶意软件,查看/修改/加密/删除数据,创建后门账户。
SentinelOne的研究人员表示,该漏洞(CVE-2021-3438)已经在Windows系统中潜伏了16年,直到今年才被发现。其CVSS得分为8.8,属于高风险漏洞。
该漏洞与驱动程序中的控制输入/输出(IOCTL)功能有关,该功能在接收数据时不会得到验证。以便用户可以控制复制字符串时strncpy的长度。这使得攻击者能够溢出驱动程序的缓冲区。
因此,攻击者可以利用此漏洞将权限提升到系统级别,从而可以在内核模式下执行代码。
攻击向量——打印机
易受攻击的驱动程序已经在数百万台计算机上运行了数年。基于打印机的攻击向量是犯罪分子喜欢的完美工具,因为它的驱动程序存在于几乎所有的Windows电脑中,并且会自动启动。
也可以在不通知用户的情况下安装和加载驱动程序。无论打印机配置为无线还是USB连接,都必须加载驱动程序。启动时,驱动程序由Windows加载。
这使得打印机驱动程序成为一个完美的入侵工具,即使没有连接打印机,驱动程序也会被加载。
到目前为止,这个漏洞的利用还没有在野外观察到,武器化也需要其他漏洞配合。虽然没有发现这个漏洞被广泛使用,但是问题攻击面是巨大的。“袭击者肯定会采取行动,”保安警告说。
如何修复
研究人员指出,这一漏洞自2005年以来就存在,影响了许多打印机型号。您可以根据列表查看具体受影响的型号和相应的补丁。SentinelOne建议通过加强访问控制来减少攻击面。
研究人员警告说,一些Windows机器可能安装了易受攻击的驱动程序。有些用户的驱动可能不是通过专门的安装文件安装的,可能是通过Windows Update安装更新的,甚至还有微软的数字签名。
SentinelOne表示:“这个高危漏洞影响着全球数亿台设备和数百万用户。”“这可能会对无法修复漏洞的用户和企业产生深远而重大的影响”。
SentinelOne此前在戴尔固件更新驱动程序中发现了一个12年之久的漏洞。共有五个高风险漏洞可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑设备。
本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://51itzy.com/32486.html