Investigadores de SentinelOne han revelado una vulnerabilidad crítica no descubierta hasta ahora en los controladores de millones de impresoras fabricadas por HP, Xerox y Samsung, que podría permitir a atacantes hacerse con el control de dispositivos vulnerables.
El fallo de desbordamiento del búfer, identificado como CVE-2021-3438, ha recibido una puntuación de 8,8 sobre 10 en CVSS y está presente en los controladores de las impresoras fabricadas desde 2005, según Sentinal Labs. El Common Vulnerability Scoring System (CVSS) es un estándar industrial libre y abierto para evaluar la gravedad de las vulnerabilidades de seguridad de los sistemas informáticos. CVSS trata de asignar puntuaciones de gravedad a las vulnerabilidades, lo que permite a los responsables priorizar las respuestas y los recursos en función de la amenaza.
SentinelOne ha detectado que los controladores vulnerables venían precargados en los dispositivos o que se descargaban silenciosamente cuando un usuario instalaba un paquete de software legítimo. Por ejemplo, algunos equipos con Windows pueden tener ya este controlador sin ni siquiera ejecutar un archivo de instalación dedicado porque el controlador entra a través de Windows Update.
Además, suelen tener décadas de antigüedad y han sido desarrollados sin preocuparse por el impacto en la integridad general de los sistemas.
La vulnerabilidad radica en que por el mero hecho de ejecutar el software de la impresora, el controlador se instala y se activa en la máquina, independientemente de que el usuario complete la instalación o la cancele.
La explotación de este fallo en el controlador del kernel podría hacer que un usuario sin privilegios en el sistema los obtuviera, pudiendo así ejecutar código en el modo kernel, ya que el controlador está disponible localmente para todos los usuarios. Entre los abusos potenciales se encuentra que también podrían eludir los programas de seguridad.
Una explotación exitosa permitiría a un atacante instalar programas, ver, cambiar, cifrar o borrar datos, o crear nuevas cuentas con privilegios de usuario completos. Sin embargo, para explotar este fallo sería necesario encadenar varios fallos, y los investigadores no han encontrado una manera de explotar el fallo por sí solo. Tampoco hay evidencias de explotación in the wild, por lo que la explotación es, por ahora, una prueba de concepto.
Tanto HP como Xerox han publicado avisos advirtiendo a los clientes sobre CVE-2021-3438 e instándoles a descargar los parches disponibles.
Ilustración: Canva
