Cientos de millones de impresoras llevan 16 años pudiendo hackearse

Hace unas semanas conocimos un fallo muy peligroso en Windows relacionado con las impresoras, donde la sección del sistema operativo encargada de gestionar la Cola de impresión tenía una grave vulnerabilidad sin parchear. Ahora, se ha descubierto otro grave fallo de seguridad que afecta a las impresoras, pero en este caso es en los propios drivers.

Así lo han alertado hoy un grupo de investigadores de SentinelOne con la vulnerabilidad CVE-2021-3438, que llevaba 16 años escondida en los drivers de impresoras de marcas como HP, Samsung y Xerox. Este fallo cuenta con un 8,8 sobre 10 de gravedad, y afecta a impresoras vendidas por los tres fabricantes desde 2005, por lo que hay cientos de millones de unidades vulnerables.

Windows 10, hackeable por un driver vulnerable

El fallo consiste en realizar un desbordamiento de búfer al driver SSPORT.SYS en modelos específicos, lo cual permite llevar a cabo una escalada de privilegios a nivel local, y puede permitir a un atacante tomar el control completo del ordenador.

El driver se instala automáticamente cuando conectamos una impresora al ordenador, y será cargado por Windows cada vez que encendamos el PC. Así, en cualquier momento, un atacante puede escalar privilegios una vez tenga acceso remoto o físico al ordenador, incluso si la impresora no está conectada.

hp impresora windows 10

Si esta vulnerabilidad se une, por ejemplo, con la de día cero publicada hace unas semanas por error por parte de dos investigadores, y que permitía hackeo remoto, un atacante podía hasta el mes pasado tomar el control de cualquier ordenador del mundo.

Aprovechar la vulnerabilidad en el driver no era muy difícil, y no requería interacción por parte del usuario. Cualquier acceso con permisos básicos podía escalarse a SYSTEM, y ejecutar incluso código en el kernel. Esto permite incluso saltarse a los antivirus y mecanismos de protección del sistema operativo. También permite instalar programas, ver, cambiar, cifrar o eliminar datos, así como crear nuevos usuarios con permisos de administrador.

HP, Samsung y Xerox han lanzado parches

SentinelOne afirma que no ha encontrado evidencias de que este fallo se haya podido aprovechar por atacantes. HP lanzó el 19 de mayo una nueva versión de drivers protegida ante este fallo, pero ahora que es público, no sería de extrañar que viésemos a atacantes intentando aprovecharse de ella; sobre todo en empresas. Al haberse vendido cientos de millones de impresoras compatibles con los drivers vulnerables, muchos ordenadores van a seguir usándolas sin actualizarse, lo que los expondrá a hackeos.

El listado completo de modelos afectados de HP y Samsung puede consultarse en este enlace. En el caso de Xerox, la lista está disponible en este enlace. Como vemos, todos los modelos afectados utilizan tecnología láser, por lo que. si tu impresora es de tinta, en principio no estás afectado por el fallo.

Algunos ordenadores con Windows están empezando a recibir también el nuevo driver a través de Windows Update en cuanto el sistema operativo detecta que éste está presente en nuestro ordenador. Si tenemos una de las impresoras láser afectadas, el driver debería actualizarse automáticamente.