I ricercatori di SentinelOne hanno voluto mettere in guardia gli utenti, sia privati che aziendali, circa la presenza di un grave bug di sicurezza nei driver delle stampanti HP, Xerox e Samsung.
Il problema (CVE-2021-3438) è vecchio addirittura di 16 anni e permette a un utente in possesso di privilegi limitati di acquisire i permessi più ampi in Windows indipendente dalla versione del sistema operativo utilizzata.
Come si spiega nel report di SentinelOne il bug risiede nel file ssport.sys
aggiunto nella cartella %systemroot%\System32\Drivers
dopo l’installazione dei driver delle stampanti HP, Xerox e Samsung.
Un aggressore può sferrare un attacco molto semplicemente anche perché il driver in questione viene caricato a ogni avvio di Windows.
Come risultato dell’attacco l’utente malintenzionato può disporre il caricamento di codice arbitrario con i privilegi SYSTEM anche in modalità kernel bypassando le soluzioni per la sicurezza installate sulla macchina (i.e. antimalware) e con la possibilità di scaricare ed eseguire ulteriore codice nocivo.
I ricercatori di SentinelOne hanno spiegato che il problema affligge centinaia di milioni di stampanti su scala mondiale: per questo motivo è bene mettere al sicuro i propri sistemi scaricando e installando i driver più aggiornati per i vari prodotti di HP, Xerox e Samsung.
HP ne parla nel suo bollettino mentre Xerox ha pubblicato una breve nota.
Alcune macchine Windows possono già utilizzare i driver aggiornati e sicuri poiché gli aggiornamenti sono stati distribuiti attraverso Windows Update. Suggeriamo comunque di verificare la presenza del file %systemroot%\System32\Drivers\ssport.sys
e di controllare i driver delle stampanti correntemente in uso.
Sempre SentinelOne aveva scoperto un bug di sicurezza presente in Windows Defender da 12 anni.