HP、Xerox、Samsungが使用している一般的なプリンタ・ドライバに深刻な脆弱性があることがわかりました。、
CVE-2021-3438としてトラックされているこのバグは、2005年からプリンタドライバのコードに存在しており、過去16年間に販売された数億台のプリンタに影響があるとしています。
SentinelOne社のセキュリティ・リサーチャーであるAsaf Amir氏は、「この脆弱性は、380種類以上のHPとSamsungのプリンタモデル、および少なくとも十数種類のXerox製品という、非常に機関の長い機器リストに影響があることがわかっています」と述べていますが、彼は今年2月にこの問題を発見し、影響を受ける企業に報告していました。
パッチは少なくとも2カ月前から提供されていますが、アミール氏はこの脆弱性の深刻さをユーザーに警告するために独自のレポートを発表しています。
2005年以降、HP社、Samsung社、Xerox社は、この脆弱なドライバーを搭載した数百万台のプリンターを世界中で発売しています。
SentinelLabs社の調査結果は、2021年2月18日にHP社に積極的に報告され、CVE-2021-3438としてトラックされ、CVSSスコア8.8が付けられています。
HPは、この脆弱性に対処するため、5月19日に顧客にセキュリティアップデートをリリースしました。
”SSPORT.SYS “と呼ばれるプリンタードライバーファイルのバッファオーバーフローが原因のこの脆弱性は、脆弱なドライバーがインストールされている(影響を受けるプリンターが接続されている)システムにADMINレベルのアクセスを可能にする特権昇格攻撃に悪用される可能性があります。
この脆弱性の明らかな悪用例としては、セキュリティ製品の回避に利用されることが挙げられます。
「ドライバーの脆弱性を悪用することで、攻撃者はプログラムのインストール、データの閲覧、変更、暗号化、削除、完全なユーザー権限を持つ新しいアカウントの作成などを行うことができる可能性があります」と付け加えています。
このドライバはHP社が開発したものではなく、Microsoft社のWindows Driver Samplesに搭載されている同じ機能を持つプロジェクトからコピーしたものと思われますが、幸運にもMS社のサンプルプロジェクトにはこの脆弱性は含まれていません。
さらに、一部のWindowsシステムでは、ユーザーが知らないうちに、脆弱性を持つプリンタードライバーがすでにインストールされている可能性があることも指摘しています。これはユーザーが脆弱性を持つプリンターモデル(HP社およびXerox社のアドバイザリを参照)のいずれかをシステムに接続し、Windows Updateによってドライバーが配信された場合に起こる現象です。
対処方法としては、HP Security Advisory HPSBPI03724 および Xerox Advisory Mini Bulletin XRX21K に記載されています。HP/Samsung/Xerox をご利用のお客様は、企業、個人を問わず、早急にパッチを適用することをお勧めします。
Windowsによっては、専用のインストールファイルを実行しなくても、すでにこのドライバーがインストールされている場合があります。これは、ドライバーがWindows UpdateによってMicrosoft Windowsに付属しているためです。
この脆弱性は、同様の特権昇格攻撃に悪用される可能性があります。
Comments