{"id":255863,"date":"2021-07-20T13:03:22","date_gmt":"2021-07-20T11:03:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255863"},"modified":"2021-07-20T13:51:02","modified_gmt":"2021-07-20T11:51:02","slug":"schwere-sicherheitslcke-in-druckertreibern-von-hp-xerox-und-samsung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/20\/schwere-sicherheitslcke-in-druckertreibern-von-hp-xerox-und-samsung\/","title":{"rendered":"Schwere Sicherheitsl&uuml;cke in Druckertreibern von HP, Xerox und Samsung"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/07\/20\/schwere-sicherheitslcke-in-druckertreibern-von-hp-xerox-und-samsung\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In den Druckertreibern der Hersteller HP, Xerox und Samsung (mutma\u00dflich nur Laserdrucker) gibt es seit 16 Jahren eine schwere Sicherheitsl\u00fccke CVE-2021-3438, die Millionen Ger\u00e4te betrifft. Die Schwachstelle wurde am 18. Februar 2021 an HP gemeldet, und seit dem 19. Mai 2021 gibt es einen aktualisierten Druckertreiber. Hier einige Informationen zum Sachverhalt, der mir von den Sicherheitsforschern zur Verf\u00fcgung gestellt wurde.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/3931f6c6b674489c8481f3f8ccb7184f\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, sind vor einiger Zeit auf einen schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern gesto\u00dfen. Die Entdeckung war mehr oder weniger dem Zufall zu verdanken. Denn vor einigen Monaten stie\u00df das Team von SentinelLabs bei der Konfiguration eines brandneuen HP-Druckers dank eines Hinweises von Process Hacker erneut auf einen alten Druckertreiber<em> SSPORT.SYS<\/em>, der aus dem Jahr 2005 stammt. Das bedeutet, dass die nachfolgend beschriebene Schwachstelle wohl seit 2005 existiert, und seit diesem Datum wurden weltweit Hunderte von Millionen Druckern der betreffenden Hersteller mit dem anf\u00e4lligen Treiber ausgeliefert. Der Schwachstelle wurde mit dem CVSS-Score 8.8 eingestuft und erhielt die CVE-2021-3438.<\/p>\n<h2>Erweiterung von Zugriffsrechten (CVE-2021-3438)<\/h2>\n<p>Die Schwachstelle CVE-2021-3438 besteht darin, dass der betroffene Windows-Treiber installiert und geladen wird, ohne dass der Benutzer gefragt oder benachrichtigt wird. Dies ist auch unabh\u00e4ngig davon, ob der Drucker f\u00fcr den kabellosen Betrieb oder \u00fcber ein USB-Kabel konfiguriert wird. Dar\u00fcber hinaus wird der Treiber von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Ger\u00e4t geladen wird, selbst wenn kein Drucker angeschlossen ist.<\/p>\n<p>Die anf\u00e4llige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus \u00fcber IOCTL (Input\/Output Control) gesendet werden, ohne den Gr\u00f6\u00dfenparameter zu validieren. Dies erm\u00f6glicht Angreifern einen Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem SYSTEM-Konto f\u00fchren und Code im Kernel-Modus ausf\u00fchren.<\/p>\n<p>Das Ganze liest sich f\u00fcr mich fast wie die Fortsetzung der PrintNightmare-Problematik, die aber anders gelagert ist. Durch diese Schwachstelle k\u00f6nnen unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu \u00e4ndern, zu verschl\u00fcsseln oder zu l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario w\u00e4re beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und daraufhin L\u00f6segeldforderungen zu stellen. SentinelOne hat in <a href=\"https:\/\/labs.sentinelone.com\/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> weitere Einzelheiten zum betreffenden Bug ver\u00f6ffentlicht.<\/p>\n<h2>Schwachstelle im Treiber gepatcht<\/h2>\n<p>SentinelLabs hat die Erkenntnisse am 18. Februar 2021 an HP gemeldet. Der Hersteller ist f\u00fcr die Treiberentwicklung der oben genannten Hersteller verantwortlich. HP hat am 19. Mai ein Sicherheitsupdate f\u00fcr seine Kunden ver\u00f6ffentlicht, um die Schwachstelle zu beheben. Zum jetzigen Zeitpunkt gibt es noch keine Beweise f\u00fcr aktive oder erfolgreiche Angriffe auf Basis der Sicherheitsl\u00fccke, allerdings birgt die Schwachstelle M\u00f6glichkeiten f\u00fcr Angreifer, Malware \u00fcber Drucker in Systeme einzuschleusen.<\/p>\n<h2>Gegenma\u00dfnahmen<\/h2>\n<p>Die Sicherheitsl\u00fccke und die notwendigen Abhilfema\u00dfnahmen sind im <a href=\"https:\/\/support.hp.com\/us-en\/document\/ish_3900395-3833905-16\" target=\"_blank\" rel=\"noopener\">HP Security Advisory HPSBPI03724<\/a> und im <a href=\"https:\/\/securitydocs.business.xerox.com\/wp-content\/uploads\/2021\/05\/cert_Security_Mini_Bulletin_XRX21K_for_B2XX_PH30xx_3260_3320_WC3025_32xx_33xx.pdf\" target=\"_blank\" rel=\"noopener\">Xerox Advisory Mini Bulletin XRX21K<\/a> beschrieben. Das Ganze betrifft 380 verschiedene HP- und Samsung-Druckermodelle sowie mindestens ein Dutzend verschiedene Xerox-Ger\u00e4te. In der\u00a0 HP-Ger\u00e4teliste tauchen beim \u00dcberfliegen nur Laserdrucker auf &#8211; aber da macht ihr euch selbst schlau.<\/p>\n<p>Benutzer von HP-, Xerox- und Samsung-Druckern \u2013 sowohl Unternehmen als auch Privatkunden \u2013 sollten den zur Verf\u00fcgung gestellten Patch so bald wie m\u00f6glich installieren. Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der verwundbare Treiber kann potenziell immer noch f\u00fcr BYOVD (bring your own vulnerable driver)-Angriffe verwendet werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In den Druckertreibern der Hersteller HP, Xerox und Samsung (mutma\u00dflich nur Laserdrucker) gibt es seit 16 Jahren eine schwere Sicherheitsl\u00fccke CVE-2021-3438, die Millionen Ger\u00e4te betrifft. Die Schwachstelle wurde am 18. Februar 2021 an HP gemeldet, und seit dem 19. Mai &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/20\/schwere-sicherheitslcke-in-druckertreibern-von-hp-xerox-und-samsung\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[614,4328],"class_list":["post-255863","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-drucker","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255863","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255863"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255863\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}