潜伏16年的打印机驱动漏洞波及数百万用户

王英哲

近日，安全研究人员披露了惠普打印机驱动程序中存在提權漏洞的技术细节，该驱动程序也被三星与施乐公司所使用。该漏洞影响了16年间众多版本的驱动程序，可能波及上亿台Windows计算机。攻击者可以利用该漏洞执行绕过安全防护软件、安装恶意软件、查看、修改、加密、删除数据和创建后门账户等操作。

SentinelOne的研究人员表示，该漏洞（CVE-2021-3438）已经在Windows系统中潜伏了16年之久，直到今年才被发现，它的CVSS评分为8.8分，是一个高危漏洞。

该漏洞存在与驱动程序中控制输入/输出（IOCTL）的函数，在接收数据时没有进行验证。使得strncpy在复制字符串时长度可以被用户控制。这就使得攻击者可以溢出驱动程序的缓冲区。

因此，攻击者可以利用该漏洞提权到SYSTEM级别，从而可以在内核模式下执行代码。

攻击向量———打印机

存在漏洞的驱动程序已在数百万台计算机中运行了数年。基于打印机的攻击向量是犯罪分子喜欢的完美工具，因为其驱动程序几乎在所有Windows计算机中都存在，而且会自动启动。

驱动程序也无需告知用户就可以进行安装和加载，无论将打印机配置为无线还是USB连接，都必须加载驱动程序，并且在启动时，由Windows来加载该驱动程序。

使得打印机驱动成为了完美的入侵工具，即使在没有连接打印机的情况下，驱动程序也会被加载。

目前为止，尚未观察到该漏洞的在野利用，武器化也需要其他漏洞进行配合。“尽管没有发现该漏洞已经被广泛利用，但存在问题的攻击面极大，攻击者一定会采取行动。”安全人员警告说。

如何修复

研究人员指出，该漏洞自从2005年以来就存在，影响了非常多的打印机型号。可以根据列表查看具体的受影响型号与对应的补丁。SentinelOne建议通过加强访问控制来减少攻击面。

研究人员警告说，一些Windows机器可能已经安装了易受攻击的驱动程序。有些用户的驱动程序可能不是通过专门的安装文件安装的，可能是通过Windows Update进行安装与更新的，甚至还有微软的数字签名。

SentinelOne表示：“这个高危漏洞影响了全球数亿台设备和数百万用户，这可能会对无法修补漏洞的用户和企业产生深远而重大的影响。”

SentinelOne此前也发现过戴尔固件更新驱动程序中存在隐藏了12年的漏洞，共计5个高危漏洞可能影响数亿台戴尔台式机、笔记本电脑和平板电脑设备。