Les chercheurs de SentinelOne indiquent avoir découvert une importante faille de sécurité présente depuis 2005 dans les pilotes des imprimantes HP, Xerox et Samsung. Cette vulnérabilité affecte une très longue liste de plus de 380 modèles d’imprimantes HP et Samsung différents ainsi qu’au moins une douzaine de produits Xerox, des modèles fabriqués tous par HP.
Lors de la configuration d’une nouvelle imprimante HP, SentinelLabs, la division de recherche de SentinelOne, dit dans un article de blog avoir détecté sur un vieux pilote d’imprimante « datant de 2005 » « une vulnérabilité alarmante dans les pilotes d’imprimante HP, Xerox et Samsung« . Une fois le logiciel de l’imprimante installé, le pilote est activé sur la machine, « que l’installation soit finalisée ou annulée« , indique l’éditeur. Il est ensuite chargé par Windows à chaque démarrage, « sans même demander ou avertir l’utilisateur« , et que « l’imprimante soit connectée ou pas« .
La fonction vulnérable du pilote accepte les données envoyées « par le mode utilisateur via IOCTL (Input/Output Control) sans valider le paramètre de taille« . « Elle permet à un utilisateur d’exécuter du code en mode noyau (puisque le pilote vulnérable est localement disponible pour tout le monde). »
Une élévation des privilèges
L’exploitation réussie de la vulnérabilité d’un pilote peut être utilisée « pour contourner les produits de sécurité et permettre aux attaquants d’installer des programmes, de visualiser, de modifier, de chiffrer ou de supprimer des données, ou de créer de nouveaux comptes dotés de tous les droits d’utilisateur« , indiquent les chercheurs.
Ils conseillent aux développeurs d’appliquer des ACL fortes lors de la création d’objets de périphériques du noyau, de vérifier les entrées utilisateur et de ne pas exposer l’interface générique aux opérations en mode noyau.
Des centaines de millions d’imprimantes sont concernées. La liste, impressionnante, des modèles affectés chez HP (des LaserJet) et des Samsung (des ProXpress) se trouve ici.
Les chercheurs pensent que la vulnérabilité, identifiée CVE-2021-3438, avec un score de 8,8 n’a pas été exploitée. Elle a été signalée à HP le 18 février dernier. Le fabricant a publié une mise à jour de sécurité en mai à l’intention de ses clients pour la corriger.
