Connectés au système d'information de l'entreprise, les systèmes d'impression (imprimantes et multifonctions) constituent un risque réel en termes de sécurité informatique et un vecteur d'attaque à part entière. La dernière découverte du chercheur en sécurité d'IBM X-Force Julio Aviña est là pour le rappeler. Ce dernier a en effet trouvé une vulnérabilité dans le package d'installation G2 de Lexmark. Exécutable sur de nombreux environnements d'exploitation (Windows Server 2008 et R2, 2012, 2016 et 2019 mais aussi Windows 7, 8.1 et 10), ce dernier contient les pilotes d'impression et permet aux administrateurs ou utilisateurs ayant les droits appropriés de personnaliser l'installation des imprimantes.
La faille révélée a un score de sévérité CVSS de 8.4 ce qui est loin d'être négligeable. « Le package d'installation du logiciel d'impression Lexmark G2 pourrait permettre à un attaquant local d'exécuter du code arbitraire sur le système, en raison d'une vulnérabilité dans le chemin d'accès au service LM__bdsvc. En plaçant un fichier spécialement conçu, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système », a prévenu Julio Aviña. Pour le moment, il n'existe pas à ce jour d'exploit connu mais Lexmark travaille à un correctif. « Nous sommes au courant de ce problème et travaillons pour résoudre cette faille », a indiqué Bryan Willett, le RSSI du constructeur d'imprimantes.
Un risque d'exploit limité
Le risque d'exploit s'avère malgré tout limité : « une tentative réussie d'exploiter cette vulnérabilité nécessite que l'attaquant insère un fichier exécutable dans le chemin de service sans être détecté par le système d'exploitation ou une application de sécurité. Lors du redémarrage du service ou du système, l'exécutable inséré s'exécutera avec des privilèges élevés », a indiqué Julio Aviña.
Le package Printer Software G2 de Lexmark est utilisé pour différents systèmes d'impression du fabricant à savoir les modèles : C2240, C2325, C2425, C2535, CS421, CS521, CS622, CX421, CX522, CX622, CX625, MC2325, MC2425, MC2535, MC2640, XC2235, XC2240 et XC4240.