Une fois le logiciel de l’imprimante installé, le pilote est activé sur la machine, que l’installation soit finalisée ou annulée. Il, est ensuite chargé par Windows à chaque démarrage - sans même demander ou avertir l’utilisateur - que l’imprimante soit connectée ou pas. La fonction vulnérable du pilote accepte les données envoyées par le mode utilisateur via IOCTL (Input/Output Control) sans valider le paramètre de taille. Elle permet à un utilisateur d’exécuter du code en mode noyau (puisque le pilote vulnérable est localement disponible pour tout le monde).

L’exploitation réussie de la vulnérabilité d’un pilote peut être utilisée pour contourner les produits de sécurité et permettre aux attaquants d’installer des programmes, de visualiser, de modifier, de chiffrer ou de supprimer des données, ou de créer de nouveaux comptes dotés de tous les droits d’utilisateur.

Il semble que HP n’ait pas développé ce pilote mais l’ait copié d’un projet dans Windows Driver Samples de Microsoft qui a une fonctionnalité presque identique ; heureusement, le projet d’exemple de Microsoft ne contient pas la vulnérabilité.

Il est conseillé, afin de réduire la surface d’attaque offerte par les pilotes de périphériques avec des gestionnaires IOCTL exposés, que les développeurs appliquent des ACL fortes lors de la création d’objets de périphériques du noyau, vérifient les entrées utilisateur et n’exposent pas d’interface générique aux opérations en mode noyau.

Bien que SentinelLabs n’ait pas encore relevé d’indicateurs laissant à penser que cette vulnérabilité ait été exploitée, elle pourrait cependant avoir un impact considérable sur les utilisateurs et les entreprises qui n’appliquent pas de correctifs.