CVE-2021-3438 存在16年的漏洞，影响全球数百万台打印机

国外安全团队研究人员向惠普、施乐和三星发出警告，几家产品使用的打印机驱动程序中存在一个已经存在 16 年的漏洞 (CVE-2021-3438)，黑客可以利用该漏洞获得系统管理员权限。

该漏洞由安全团队SentinelOne的研究人员在几个月前偶然发现，当时研究人员正在配置一台全新的 HP 打印机，注意到 2005 年一个名为 SSPORT.SYS 的旧打印机驱动程序正在触发 Process Hacker 的警报。

该旧打印机驱动程序存在HP、Xerox 和 Samsung 打印机驱动程序软件中，是一个缓冲区溢出，存在于某些打印机型号使用的 SSPORT.SYS 驱动程序中。并且该程序在打印机软件安装时，驱动程序就在被安装的机器上激活，即使软件安装被取消，该驱动也会留在机器上。

当黑客获取该机器的基础权限，就可以利用该驱动的漏洞权限提升到SYSTEM 并在内核模式下运行代码，这样恶意代码就可以逃避安全产品的检测。

该漏洞自2005年该驱动发布至现在一直未被修复，漏洞影响了超过 380 种不同的 HP 和三星打印机型号以及至少十几种不同产品，该漏洞被跟踪为CVE-2021-3438。

团队人员在报告中写道：“成功利用驱动程序漏洞可能允许攻击者安装程序、查看、更改、加密或删除数据，或创建具有完全用户权限的新帐户。武器化这个漏洞可能需要链接其他错误，因为考虑到投入的时间，我们没有找到一种方法来单独武器化它。” 

在发布报告时，安全团队并不知道野外有没有黑客利用此漏洞的攻击，但他们预计黑客可以在未来利用它。

HP 已发布安全公告( HPSBPI03724 )，其中包括受影响的打印机型号列表。还发布了安全咨询 迷你公告 (XRX21K)，以敦促客户解决该漏洞。 

报告中表示“虽然到目前为止我们还没有看到任何迹象表明此漏洞已被广泛利用，但目前有数百万台打印机型号易受攻击，但如果攻击者将此漏洞武器化，他们将不可避免地寻找那些没有采取适当措施的人。行动。” 。

以下是此漏洞的披露时间表：

2021 年 2 月 18 日——初步报告。
2021 年 2 月 23 日 – 我们通知惠普三星和施乐打印机存在同样的问题。
2021 年 5 月 19 日——惠普发布了 CVE-2021-3438 的公告。
2021 年 5 月 20 日——我们通知惠普“受影响产品”列表不完整，并提供了额外信息。
2021 年 6 月 1 日 – 惠普更新了受影响产品的列表。