[English]In den Druckertreibern der Hersteller HP, Xerox und Samsung (mutmaßlich nur Laserdrucker) gibt es seit 16 Jahren eine schwere Sicherheitslücke CVE-2021-3438, die Millionen Geräte betrifft. Die Schwachstelle wurde am 18. Februar 2021 an HP gemeldet, und seit dem 19. Mai 2021 gibt es einen aktualisierten Druckertreiber. Hier einige Informationen zum Sachverhalt, der mir von den Sicherheitsforschern zur Verfügung gestellt wurde.
Anzeige
Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, sind vor einiger Zeit auf einen schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern gestoßen. Die Entdeckung war mehr oder weniger dem Zufall zu verdanken. Denn vor einigen Monaten stieß das Team von SentinelLabs bei der Konfiguration eines brandneuen HP-Druckers dank eines Hinweises von Process Hacker erneut auf einen alten Druckertreiber SSPORT.SYS, der aus dem Jahr 2005 stammt. Das bedeutet, dass die nachfolgend beschriebene Schwachstelle wohl seit 2005 existiert, und seit diesem Datum wurden weltweit Hunderte von Millionen Druckern der betreffenden Hersteller mit dem anfälligen Treiber ausgeliefert. Der Schwachstelle wurde mit dem CVSS-Score 8.8 eingestuft und erhielt die CVE-2021-3438.
Erweiterung von Zugriffsrechten (CVE-2021-3438)
Die Schwachstelle CVE-2021-3438 besteht darin, dass der betroffene Windows-Treiber installiert und geladen wird, ohne dass der Benutzer gefragt oder benachrichtigt wird. Dies ist auch unabhängig davon, ob der Drucker für den kabellosen Betrieb oder über ein USB-Kabel konfiguriert wird. Darüber hinaus wird der Treiber von Windows bei jedem System-Start geladen. Dies macht den Treiber zum idealen Angriffsziel, da er infolge der Installation immer auf dem Gerät geladen wird, selbst wenn kein Drucker angeschlossen ist.
Die anfällige Funktion innerhalb des Treibers akzeptiert Daten, die vom Benutzermodus über IOCTL (Input/Output Control) gesendet werden, ohne den Größenparameter zu validieren. Dies ermöglicht Angreifern einen Buffer Overrun im Treiber zu veranlassen. Die Ausnutzung einer solchen Kernel-Treiber-Schwachstelle kann einen nicht-privilegierten Benutzer zu einem SYSTEM-Konto führen und Code im Kernel-Modus ausführen.
Das Ganze liest sich für mich fast wie die Fortsetzung der PrintNightmare-Problematik, die aber anders gelagert ist. Durch diese Schwachstelle können unter anderem Sicherheitsprogramme umgangen werden, um Malware zu installieren, Daten anzuzeigen, zu ändern, zu verschlüsseln oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen. Ein denkbares Szenario wäre beispielsweise das Einschleusen von Ransomware durch Hacker, um Systeme zu sperren und daraufhin Lösegeldforderungen zu stellen. SentinelOne hat in diesem Blog-Beitrag weitere Einzelheiten zum betreffenden Bug veröffentlicht.
Anzeige
Schwachstelle im Treiber gepatcht
SentinelLabs hat die Erkenntnisse am 18. Februar 2021 an HP gemeldet. Der Hersteller ist für die Treiberentwicklung der oben genannten Hersteller verantwortlich. HP hat am 19. Mai ein Sicherheitsupdate für seine Kunden veröffentlicht, um die Schwachstelle zu beheben. Zum jetzigen Zeitpunkt gibt es noch keine Beweise für aktive oder erfolgreiche Angriffe auf Basis der Sicherheitslücke, allerdings birgt die Schwachstelle Möglichkeiten für Angreifer, Malware über Drucker in Systeme einzuschleusen.
Gegenmaßnahmen
Die Sicherheitslücke und die notwendigen Abhilfemaßnahmen sind im HP Security Advisory HPSBPI03724 und im Xerox Advisory Mini Bulletin XRX21K beschrieben. Das Ganze betrifft 380 verschiedene HP- und Samsung-Druckermodelle sowie mindestens ein Dutzend verschiedene Xerox-Geräte. In der HP-Geräteliste tauchen beim Überfliegen nur Laserdrucker auf – aber da macht ihr euch selbst schlau.
Benutzer von HP-, Xerox- und Samsung-Druckern – sowohl Unternehmen als auch Privatkunden – sollten den zur Verfügung gestellten Patch so bald wie möglich installieren. Obgleich HP einen Patch in Form eines korrigierten Treibers herausgibt, ist zu beachten, dass das Zertifikat noch nicht widerrufen wurde. Der verwundbare Treiber kann potenziell immer noch für BYOVD (bring your own vulnerable driver)-Angriffe verwendet werden.
Anzeige
Laut der verlinkten HP-Seite (https://support.hp.com/us-en/document/ish_3900395-3833905-16) sind bei HP ja wohl nur LaserJets und keine z.B. DesignJets betroffen.
Vielleicht sollte man im Artikel darauf hinweisen und nicht schwammig und allgemein von "HP Druckern" bzw. "in den Druckertreibern von HP" sprechen, oder hab ich da was falsch verstanden?
Danek, ist erwähnt – aber ich gehe davon aus, dass sich potentiell Betroffene selbst beim Hersteller informieren, ob ein aktualisierter Treiber vorhanden ist.
Wir nutzen bei uns im Büro Geräte von HP, allerdings DesignJet 40xx. Das ich kein "potentiell Betroffener" bin, habe ich erst nach Besuch der verlinkten HP-Seite erfahren.
Also DEN zusätzlichen Klick hätte ich mir echt sparen können!!1! Stichwort: Lebenszeit… ;-)
Ich finde das ist ein wenig zu dramatisch formuliert, was die Anzahl der betroffenen Geräte angeht. Es sind bei HP "nur" 17 Modellreihen und somit nur ein sehr kleiner Bruchteil, wenn man bedenkt wie lange es diese Lücke schon gibt und wie viele Modellreihen HP seitdem angesammelt hat. Mein Farblaser von 2017 ist beispielsweise gar nicht dabei.
Die Universal-Drucktreiber scheinen nicht betroffen zu sein?
Das würde mich auch interessieren, ob diese auch betroffen sind.
Das müsstet ihr prüfen können, indem ihr schaut, ob die im Blog-Beitrag genannte Treiberdatei auf dem System vorhanden ist und geladen wird. Ist die Datei aus 2005 auf den Systemen vorhanden, seid ihr betroffen. Ich würde mit dem Verzeichnis: C:\Windows\System32\spool\drivers anfangen – und folgender Überlegung nachgehen:
– Das Problem trat bei den Herstellerpaketen auf, weil bei der Druckertreiberinstallation der alte Treiber SSPORT.SYS aus 2005 mit installiert wurde.
– Habe ich auf einem System einen Drucker und nur Universal-Druckertreiber installiert, einfach nachschauen, ob es die genannte Datei aus 2005 auf dem System gibt.
Nein -> sieht bezüglich CVE-2021-3438 gut aus.
Ja -> dann würde ich ein Problem bezüglich CVE-2021-3438 sehen.
Ich kann mangels Gerät nichts kontrollieren. Aber möglicherweise habe ich einen Denkfehler begangen?
Nach dem ganzen Hin- und Her Gezackere mit HP Treibern/Hotfixes/&Patches bei jedem Win10 Release, betreibe ich einen Samsung MFP nur noch mit den Standard Windows Treibern und der Win10 Scan&Druck-App. Mir kommt dieses Software-PACK (sic!) auf keinen PC mehr.
Habe mir die Liste der betroffenen Drucker angeschaut. Der Samsung Xpress C460W ist nicht dabei. Das Nachfolgemodell Samsung Xpress C480 ist aber betroffen.
Werde nächstes Wochenende mal schauen ob der Treiber "SSPORT.SYS" auch vom Samsung Xpress C460W genutzt wird.
Wie viele Jahre gibt denn HP eigentlich Treiber Support für Drucker?
Der Samsung Xpress C460W hatte seine Markteinführung im Jahr 2013.
So habe jetzt mal nachgeschaut. Auch beim Samsung Xpress C460W ist die SSPORT.sys vorhanden.
Sie ist zu finden in den Ordnern:
"C:\Windows\System32\DriverStore\FileRepository\slc460.inf_amd64_15e0207d5e4b9905\amd64"
"C:\Windows\System32\drivers"
Wie oben beschrieben ist der Drucker nicht in der Liste von HP zu finden.
HP sollte meines erachtens alle betroffenen Drucker bis zurück in das Jahr 2005 auflisten. Drucker sind ja im Normalfall langlebige Geräte. (Der genannte Samsung zwar eher weniger aber es geht um das Prinzip.) Ich kenne viele Leute die Drucker benutzen die 10 Jahre und älter sind.
Ich selber habe ein Kyocera FS1010. Der wurde 2003 gebaut. Bis auf eine Reparatur der Registrierkupplung für das Papier gab es noch keine Probleme mit der Hardware.
Werde demnächst mal einen Patch für einen neueren Drucker mit dem Problem installieren und schauen ob die Datei erneuert wird.
Neulich bei PrintNightmare habe ich aus der einen Analyse heraus geschrieben, dass wir wohl bald auch Druckertreiber aktualisieren dürfen. Da kommts.
SSPORT.sys steht für Samsung Serial Port, und wurde seit November 2006 mit den Samsung Printer Driver Pack installiert, bzw. etwas genauer:
Er steckt in den Samsung Scanner Driver mit drin.
Der SSPort.sys wird bei Samsung-, HP- (ex-Samsung Drivers), und Xerox -Multifunktionsgeräten, also Print,Scan,Fax verwendet.
Bei mir steckt der Driver in folgenden Pfad:
c:\Windows\System32\DriverStore\FileRepository\ssusd.inf_amd64_eea4eebf7b1e7af4\amd64\SSPORT.sys
Wenn ich mir die Driver.Inf anschaue, dann steht da "Samsung Universal Scan Driver" drin, d.h. der Printer Treiber bringt für den MultifunktionsPrinter einen TWAIN Scanner Driver mit.
c:\Windows\System32\DriverStore\FileRepository\ssusd.inf_amd64_eea4eebf7b1e7af4\ssusd.inf
Was aber die koreanischen Brüder mit "Port Contention Driver" also Port Konflikt Treiber aussagen wollen, erleuchtet sich mir nicht.
Laut Virustotal wurde SSport.sys in folgenden exemplarischen DriverPaketen gesichtet:
https://www.virustotal.com/gui/file/7cc9ba2df7b9ea6bb17ee342898edd7f54703b93b6ded6a819e83a7ee9f938b4/relations
HP-LaserJet-MFP-M436nda-PCL-6-v3-Drivers-for-windows.exe
M2070_Series_WIN_Scanner_V3.31.38.04_CDV1.27.exe
gPhaser_3250_Win8_32-bit_and_64-bit_PCL6.exe
Phaser_3117_Win8_32-bit_and_64-bit_GDI.rar
SCX-4200_Win7_Print.exe
Samsung-CLP-315-Printer-Driver-for-Windows-7-vista-xp-32-bit-and-64-bit.exe
Samsung-SCX-3201-Print-Driver-for-Windows-7-vista-xp-32-bit-and-64-bit.exe
Samsung-SCX-3405-Scan-Driver-for-Windows-10-8.1-8-7-vista-xp-32-bit-and-64-bit.exe
Samsung-SCX-4200-Scan-Driver-for-Windows-7-vista-xp-32-bit.exe
Samsung_CLX-3300_series_1.7.7.0_win7_amd64.exe
UniversalScanDriver_V1.02.19.exe
WorkCentre_3025_Windows_Software_Installer-Package.exe
WorkCentre_3225_Windows_Software_Installer-Package.exe
XEROX_B215_Windows_PrintDriver_Utilities_3.70.43.08.exe
@Uwe: Danke für deinen Hinweis hier im Kommentar und bei heise im Newsticker.
Falls wer den Treiber findet, beachtet auch diesen Kommentar bei heise.
Ja, Vorsicht bei neuen Treibern und vor allem bei neuer Firmware für HP-Tintenstrahler (falls die betroffen sind)…Vermutlich akzeptieren die dann wieder keine Tintenpatronen von Fremdherstellern, das wiederholt sich ja regelmäßig bei neuen HP-Firmware-Updates.
…HP-Tintenstrahler besser immer im Heimnetz per Router vom Internet isolieren, und möglichst nur Windows-Standardtreiber verwenden.
Bei Chip wird ein OfficeJet gezeigt obwohl diese Model-Reihe wohl gar nicht betroffen zu sein scheint, oder?
(habe einen OfficeJet Pro 8020 an Win10 und kein ssport.sys)
… na das ist ja mal wieder ein Durcheinander.
Das Durcheinander ist imho nicht wirklich vorhanden. Ich hatte die Advisories von HP und Co. verlinkt, wo die betreffenden Modelle aufgeführt sind. Und Windows PCL 5/6-Treiber sind wohl auch nicht mit dem seriellen Treiber für Scanner versehen.