Un bug vecchio di 16 anni nei driver delle stampanti HP, Xerox e Samsung

I ricercatori di SentinelOne hanno voluto mettere in guardia gli utenti, sia privati che aziendali, circa la presenza di un grave bug di sicurezza nei driver delle stampanti HP, Xerox e Samsung.
Il problema (CVE-2021-3438) è vecchio addirittura di 16 anni e permette a un utente in possesso di privilegi limitati di acquisire i permessi più ampi in Windows indipendente dalla versione del sistema operativo utilizzata.

Come si spiega nel report di SentinelOne il bug risiede nel file ssport.sys aggiunto nella cartella %systemroot%\System32\Drivers dopo l’installazione dei driver delle stampanti HP, Xerox e Samsung.

Un aggressore può sferrare un attacco molto semplicemente anche perché il driver in questione viene caricato a ogni avvio di Windows.
Come risultato dell’attacco l’utente malintenzionato può disporre il caricamento di codice arbitrario con i privilegi SYSTEM anche in modalità kernel bypassando le soluzioni per la sicurezza installate sulla macchina (i.e. antimalware) e con la possibilità di scaricare ed eseguire ulteriore codice nocivo.

I ricercatori di SentinelOne hanno spiegato che il problema affligge centinaia di milioni di stampanti su scala mondiale: per questo motivo è bene mettere al sicuro i propri sistemi scaricando e installando i driver più aggiornati per i vari prodotti di HP, Xerox e Samsung.

HP ne parla nel suo bollettino mentre Xerox ha pubblicato una breve nota.

Alcune macchine Windows possono già utilizzare i driver aggiornati e sicuri poiché gli aggiornamenti sono stati distribuiti attraverso Windows Update. Suggeriamo comunque di verificare la presenza del file %systemroot%\System32\Drivers\ssport.sys e di controllare i driver delle stampanti correntemente in uso.

Sempre SentinelOne aveva scoperto un bug di sicurezza presente in Windows Defender da 12 anni.