Seit 2005 ausgelieferte Drucker betroffen

Sicherheitslücke in Druckern von HP, Samsung und Xerox

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Laut Sicherheitsforschern von SentinelOne sind seit 2005 mehrere Hunderte Millionen Geräten mit einer Schwachstelle ausgeliefert worden, die Angreifern die Ausweitung von Nutzerrechten ermöglicht. HP hat zur Fehlerbehebung bereits ein Treiberupdate veröffentlicht.
HP und Xerox haben die Lücke CVE-2021-3438 in ihren (und älteren Samsung-Druckern) bereits geschlossen, nun sollten Anwender den Patch umgehend einspielen.
HP und Xerox haben die Lücke CVE-2021-3438 in ihren (und älteren Samsung-Druckern) bereits geschlossen, nun sollten Anwender den Patch umgehend einspielen.
Foto: Ascannio - shutterstock.com

Spätestens seit der "PrintNightmare" genannten Windows-Sicherheitslücke sollten Nutzer von Netzwerkdruckern für die Gefahren unsicherer Drucker sensibilisiert sein. Da die Drucker-Hersteller das Prinzip "Security by Design" trotz einiger Bemühungen um die Sicherheit der von ihnen ausgelieferten Geräte noch nicht wirklich verinnerlicht haben, ist jedoch damit zu rechnen, das auch künftig noch Sicherheitslücken entdeckt und ausgenutzt werden - zumal viele Hersteller in der Vergangenheit eher auf Hinweise zur Sicherheit ihrer Druckgeräte eher zögerlich reagierten.

Diesmal allerdings ging es schnell: HP wurde die Lücke am 18. Februar gemeldet und das Unternehmen hat am 19. Mai einen Patch zur Verfügung gestellt. Der sollte nun aber auch umgehend eingespielt werden. Denn da die Lücke CVE-2021-3438 nun öffentlich bekannt gemacht wurde, ist damit zu rechnen, dass sie auch bald ausgenutzt wird.

Entdeckt haben die Schwachstelle die Sicherheitsforscher von SentinelOne. Bislang liegen noch keine Hinweise darauf vor, dass sie für Angreife ausgenutzt wurde. Allerdings bietet die Sicherheitslücke für Angreifer die Möglichkeit, Malware über Drucker in Firmennetzwerke einzuschleusen. Der hohe CVSS-Score 8,8 sollte aufhorchen lassen.

"Der betroffene Treiber wird installiert und geladen, ohne dass der Benutzer gefragt oder benachrichtigt wird - unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird", teilt SentinelOne mit. "Darüber hinaus wird er von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist."

Angriffsweg und Abwehrmöglichkeiten

Die fehlerhaft implementierte Funktion in dem Treiber validiert den Größenparameter im Benutzermodus über IOCTL (Input/Output Control) gesendeter Daten nicht. Angreifern können so einen Buffer Overrun im Treiber verursachen. Ein nicht-privilegierter Benutzer kann anschließend Zugriff auf eine System-Konto erhalten und Code im Kernel-Modus ausführen. Er kann dann unter anderem also Sicherheitsprogramme umgehen, um Malware zu installieren, sich Daten anzeigen zu lassen, sie zu ändern, zu verschlüsseln oder zu löschen. Auch könnte er neue Konten mit vollen Benutzerrechten erstellen.

Sowohl HP (das 2016 die Druckersparte von Samsung übernommen hat) als auch Xerox haben für ihre Kunden bereits Sicherheitsempfehlungen veröffentlicht (HP Security Advisory HPSBPI03724 und Xerox Advisory Mini Bulletin XRX21K). "Benutzer von HP-, Xerox- und Samsung-Druckern - sowohl Unternehmen als auch Privatkunden - sollten den zur Verfügung gestellten Patch so bald wie möglich installieren", empfiehlt SentinelOne. "Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der angreifbare Treiber könnte daher immer noch für Angriffe verwendet werden.

Zur Startseite