Une faille vieille de 16 ans dans un logiciel d’impression

0

Une faille de sécurité vieille de 16 ans trouvée dans un pilote d’imprimantes HP, Xerox et Samsung permet aux attaquants d’obtenir des droits d’administrateur sur les systèmes utilisant le pilote vulnérable.

« Cette vulnérabilité de gravité élevée, présente dans les logiciels d’impression HP, Samsung et Xerox depuis 2005, affecte des centaines de millions d’appareils et des millions d’utilisateurs dans le monde », selon un rapport de SentinelOne publié la semaine dernière.

La faille de sécurité identifiée comme CVE-2021-3438 est un débordement de tampon dans le pilote SSPORT.SYS pour des modèles d’imprimantes spécifiques qui pourrait conduire à une élévation locale des privilèges des utilisateurs.

Comme les chercheurs l’ont découvert, le pilote en question est automatiquement installé avec le logiciel de l’imprimante et sera chargé par Windows après chaque redémarrage du système.

Cela en fait la cible idéale pour les attaquants qui ont besoin d’un moyen simple d’élever les privilèges, car le bogue peut être abusé même lorsque l’imprimante n’est pas connectée au périphérique ciblé.

faille de sécurité pilote
Pilote vulnérable configuré pour se charger au démarrage du système (SentinelOne)

Une exploitation réussie nécessite un accès d’utilisateur local, ce qui signifie que les pirates informatiques devront d’abord prendre pied sur les appareils ciblés.

Une fois cela réalisé, ils peuvent exploiter la faille de sécurité pour élever les privilèges dans les attaques de faible complexité sans nécessiter d’interaction de l’utilisateur.

Le résultat est que les attaquants avec des privilèges d’utilisateur de base peuvent élever leurs privilèges à SYSTEM et exécuter du code en mode noyau, contournant potentiellement les produits de sécurité qui bloqueraient leurs attaques ou la livraison de charges utiles malveillantes supplémentaires.

« Exploiter avec succès une vulnérabilité de pilote peut permettre aux attaquants d’installer des programmes, d’afficher, de modifier, de chiffrer ou de supprimer des données, ou de créer de nouveaux comptes avec tous les droits d’utilisateur », explique SentinelOne.

« Bien que nous n’ayons vu aucun indicateur indiquant que cette vulnérabilité a été exploitée à l’état sauvage jusqu’à présent, avec des centaines de millions d’entreprises et d’utilisateurs actuellement vulnérables, il est inévitable que les attaquants recherchent ceux qui ne prennent pas les mesures appropriées. « 

Les utilisateurs sont invités à mettre à jour dès que possible

Une liste des modèles d’imprimantes concernés utilisant le pilote vulnérable est disponible dans l’avis de sécurité de HP et dans ce mini-bulletin de sécurité de Xerox.

Les clients professionnels et particuliers de HP, Xerox et Samsung sont invités à appliquer les correctifs fournis par les fournisseurs dès que possible.

« Certaines machines Windows peuvent déjà avoir ce pilote sans même exécuter un fichier d’installation dédié, car ce pilote est fourni avec Microsoft Windows via Windows Update », ont ajouté les chercheurs.

Plus tôt cette année, les chercheurs de SentinelOne ont découvert une faille d’élévation de privilèges vieux de 12 ans dans Microsoft Defender Antivirus (anciennement Windows Defender) qui peut permettre aux attaquants d’obtenir des droits d’administrateur sur des systèmes Windows non corrigés.

Microsoft Defender Antivirus est la solution anti-malware par défaut sur plus d’un milliard de systèmes exécutant Windows 10 selon les statistiques de Microsoft.

Laisser un commentaire