Hunderte von Millionen von Druckern von HP, Xerox und Samsung enthalten Treiber mit einer Schwachstelle, die seit dem Jahr 2005 besteht. Hacker können durch Ausweitung von Nutzerrechten Malware über die Drucker laden. Nutzer sollten ihre Drucker unbedingt patchen.
Forscher des IT-Securityunternehmens SentinelOne haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und nun öffentlich gemacht. Noch gibt es zwar keine Beweise für aktive oder erfolgreiche Angriffe auf Basis der Sicherheitslücke (CVE-2021-3438). Aber Hunderte Millionen Drucker, die von den Herstellern HP, Xerox und Samsung seit 2005 verkauft wurden, sind offen für potenzielle Attacken, bei denen Hacker Malware über Drucker in die Computer einzuschleusen könnten.
Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer benachrichtigt wird - unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird. Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist.
Die anfällige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus über IOCTL (Input/Output Control) gesendet werden, ohne den Größenparameter zu validieren. Dies ermöglicht Angreifern, einen so genannten Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem System-Konto führen und Code im Kernel-Modus ausführen.
So können unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu ändern, zu verschlüsseln oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario wäre beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und Lösegeldforderungen zu stellen.
Die entsprechenden Drucker-Hersteller wurden von SentinelOne im Februar dieses Jahres über die Schwachstelle informiert. Mittlerweile liegen auch Patches vor, um die Angriffslücke zu schließen. SentinelOne empfiehlt, die Supportseiten der Hersteller zu besuchen, wo sie ihr Druckermodell eingeben, und die zugehörige Patch-Datei herunterladen können. Auf der Supportseite von HP können auch Samsung-Drucker aktualisiert werden. HP hatte die Druckersparte von Samsung übernommen und ist stellt seither auch Treiber und Updates für Samsung-Drucker zur Verfügung.
Bildquelle: HP
