Дыра в миллионах принтеров HP и Xerox 16 лет висела над пользователями
Главная » Новости

Дыра в миллионах принтеров HP и Xerox 16 лет висела над пользователями

Татьяна Никитина 20 Июля 2021 - 18:36
...
Дыра в миллионах принтеров HP и Xerox 16 лет висела над пользователями

Настраивая новый принтер HP, исследователи из SentinelOne обнаружили работающий драйвер режима ядра SSPORT.SYS выпуска 2005 года. Как оказалось, он содержит никем не описанную уязвимость повышения привилегий, которая актуальна для всех принтеров  HP, Samsung и Xerox, выпущенных за последние 16 лет, — то есть для миллионов периферийных устройств.

Согласно описанию SentinelOne, проблема CVE-2021-3438 вызвана некорректной реализацией функции, которая принимает данные, отправленные в режиме пользователя через IOCTL (Input/Output Control, запрос управления вводом-выводом). Анализ показал, что проверки параметра SIZE при этом не производится, что может спровоцировать ошибку переполнения буфера.

Более того, установка и активация SSPORT.SYS происходят автоматически при запуске программного обеспечения принтера, притом без вывода уведомления пользователю, и отмена установки на этот процесс не влияет. На Windows-машинах уязвимый драйвер загружается при каждом старте системы — даже при отсутствии подключенных принтеров.

По словам авторов находки, эксплуатация CVE-2021-3438 позволяет рядовому пользователю повысить свои привилегии до уровня SYSTEM и выполнить произвольный код в режиме ядра (поскольку уязвимый драйвер локально доступен любому пользователю). Эту уязвимость можно использовать для обхода системной защиты с целью установки сторонних программ, модификации данных или создания новых аккаунтов с полным набором прав.

Уведомление о новой проблеме было направлено в HP в середине февраля. Производитель оценил уязвимость в 8,8 балла по CVSS и к июню выпустил патчи для всех 380+ затронутых продуктов, в том числе выпускаемых под брендом Samsung. Компании Xerox тоже пришлось (PDF) обновлять софт для своих принтеров — совокупно для 12 моделей.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Mamont возвращается: обновлённый Android-троян готовится к массовым атакам
Яков Шпунт 08 Декабря 2025 - 09:05
Android Трояны Домашние пользователи Angara Security
Mamont возвращается: обновлённый Android-троян готовится к массовым атакам

Отдел реагирования и цифровой криминалистики Angara MTDR завершил анализ новой версии вредоносных приложений для Android семейства Mamont, которые злоумышленники продолжают распространять под видом вложенных фотографий в объявлениях о продаже домашних вещей. Обновлённые варианты Mamont получили расширенную функциональность, направленную на кражу персональных данных.

Руководитель направления обратной разработки Angara MTDR Александр Гантимуров опубликовал результаты исследования новых модификаций зловреда в корпоративном блоге на платформе Habr.

Исследованные образцы представлены двумя разновидностями APK-файлов размером около 10 Мбайт, различающимися лишь незначительными деталями.

Как правило, такие приложения содержат в названии файла слово «фото» или photo. Они распространяются через мессенджеры и чаще всего прикрепляются к объявлениям о продаже домашних вещей, связанных с переездом. Ранее злоумышленники также использовали маскировку APK под изображения и видеоролики.

Вредонос предназначен для скрытого получения и отправки сообщений, сбора информации об устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных веб-адресов. При запуске он запрашивает доступ к отправке и приёму СМС, к телефонным вызовам и камере.

После получения всех необходимых разрешений зловред открывает фишинговый ресурс, замаскированный под сервис хранения изображений. Его цель — сбор пользовательских данных. Однако в исследуемых версиях функции передачи информации с устройства реализованы лишь частично.

Связь с управляющим сервером осуществляется через клиент retrofit2, а данные передаются в формате JSON. В программный интерфейс внедрён механизм uploadVerificationData, который пока не активирован. Анализ кода показывает, что злоумышленники планируют расширить набор отправляемых данных, включая персональные сведения — вплоть до номеров документов.

По мнению Александра Гантимурова, это указывает на планы дальнейшего наращивания функциональности зловреда и расширения атак, в том числе с использованием данных, собранных с заражённых устройств. Всё это может свидетельствовать о подготовке масштабной кампании по массовому сбору и эксплуатации персональных данных.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Многие не могут попасть в Госуслуги без MAX
Новость
Многие не могут попасть в Госуслуги без MAX
41% сотрудников российских компаний не распознают фишинговые письма
Новость
41% сотрудников российских компаний не распознают фишинговые...
Хактивисты не болтают: от слов к атакам — за считаные дни
Новость
Хактивисты не болтают: от слов к атакам — за считаные дни

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.