{"id":24521,"date":"2025-12-07T09:00:23","date_gmt":"2025-12-07T12:00:23","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24521"},"modified":"2025-12-02T10:57:07","modified_gmt":"2025-12-02T13:57:07","slug":"canon-ttf-vulnerability-printer-risk","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/canon-ttf-vulnerability-printer-risk\/24521\/","title":{"rendered":"Impressoras atacadas por\u2026 fontes"},"content":{"rendered":"

Atualmente, quem tenta atacar a infraestrutura de uma organiza\u00e7\u00e3o raramente se depara com o luxo de uma esta\u00e7\u00e3o de trabalho sem um Agente de EDR<\/a>, portanto, os agentes maliciosos est\u00e3o se concentrando em sabotar os servidores, ou os diversos dispositivos especializados conectados \u00e0 rede e que possuem privil\u00e9gios de acesso bastante amplos, mas n\u00e3o possuem prote\u00e7\u00e3o EDR e, muitas vezes, at\u00e9 recursos de registro. Anteriormente, registramos em detalhes os tipos de dispositivos de escrit\u00f3rio vulner\u00e1veis<\/a>.<\/p>\n

Em 2025, os ataques reais focaram em dispositivos de rede (como gateways de VPN, firewalls e roteadores), sistemas de vigil\u00e2ncia por v\u00eddeo e os pr\u00f3prios servidores. Mas n\u00e3o devemos ignorar ataques a impressoras, como o pesquisador independente Peter Geissler lembrou ao p\u00fablico no Security Analyst Summit 2025<\/a>. Ele descreveu uma vulnerabilidade que identificou em impressoras da Canon ( CVE-2024-12649<\/a> , CVSS 9.8), que permite a execu\u00e7\u00e3o de c\u00f3digo malicioso nelas. E o aspecto mais curioso sobre essa vulnerabilidade \u00e9 que basta enviar um arquivo aparentemente inocente para impress\u00e3o para explor\u00e1-la.<\/p>\n

Cavalo de Tr\u00f3ia via fonte: um ataque via CVE-2024-12649<\/h2>\n

O ataque come\u00e7a ao enviar um arquivo XPS para impress\u00e3o. Esse formato, criado pela Microsoft, cont\u00e9m todos os pr\u00e9-requisitos para imprimir um documento com sucesso e \u00e9 uma alternativa ao PDF. Basicamente, o XPS \u00e9 um arquivo comprimido ZIP com a descri\u00e7\u00e3o detalhada do documento, todas as suas imagens e as fontes utilizadas. As fontes costumam ser armazenadas em TTF (TrueType Font), um formato bastante conhecido e inventado pela Apple. E \u00e9 exatamente a fonte, que n\u00e3o costuma ser vista como perigosa, que cont\u00e9m o c\u00f3digo malicioso.<\/p>\n

O formato TTF foi projetado para que as letras pare\u00e7am id\u00eanticas em qualquer meio e mantenham as propor\u00e7\u00f5es independentemente do tamanho, desde o menor caractere em uma tela at\u00e9 o maior em um p\u00f4ster impresso. Para atingir esse objetivo, cada letra pode ter instru\u00e7\u00f5es de fonte<\/a> escritas para si, que descrevam as nuances da exibi\u00e7\u00e3o de letras de tamanhos pequenos. Essas instru\u00e7\u00f5es s\u00e3o comandos para uma m\u00e1quina virtual compacta que, mesmo sendo bastante simples, \u00e9 compat\u00edvel com todos os elementos b\u00e1sicos da programa\u00e7\u00e3o: gerenciamento de mem\u00f3ria, saltos e ramifica\u00e7\u00e3o. Geissler e seus colegas estudaram como essa m\u00e1quina virtual \u00e9 implementada em impressoras Canon. Eles descobriram que algumas instru\u00e7\u00f5es de TTF s\u00e3o executadas de maneira n\u00e3o segura<\/a>. Por exemplo, os comandos da m\u00e1quina virtual que gerenciam a stack n\u00e3o verificam se h\u00e1 esgotamento da mem\u00f3ria.<\/p>\n

Como resultado, eles conseguiram criar uma fonte maliciosa. Quando um documento que cont\u00e9m a fonte \u00e9 impresso em determinadas impressoras Canon, ele causa esgotamento do buffer da stack, grava os dados fora dos buffers da m\u00e1quina virtual e, por fim, executa c\u00f3digo no processador da impressora. O ataque inteiro \u00e9 conduzido atrav\u00e9s do arquivo TTF e o restante do conte\u00fado do arquivo XPS \u00e9 benigno. Na verdade, detectar o c\u00f3digo malicioso mesmo dentro do arquivo TTF \u00e9 bem dif\u00edcil: n\u00e3o \u00e9 muito extenso, a primeira parte cont\u00e9m as instru\u00e7\u00f5es TTF da m\u00e1quina virtual, e a segunda parte \u00e9 executada no sistema operacional da Canon (DryOS).<\/p>\n

Deve-se perceber que a Canon se concentrou em proteger o firmware da impressora nos \u00faltimos anos. Por exemplo, ela usa registros de DACR<\/a> e sinalizadores NX (sem execu\u00e7\u00e3o) compat\u00edveis com processadores ARM que limitam a capacidade de modificar o c\u00f3digo do sistema ou de executar c\u00f3digo em fragmentos de mem\u00f3ria destinados exclusivamente ao armazenamento de dados. Apesar desses esfor\u00e7os, a arquitetura geral do DryOS n\u00e3o permite a implementa\u00e7\u00e3o efetiva de mecanismos de prote\u00e7\u00e3o de mem\u00f3ria, como ASLR<\/a> ou stack canary<\/a>, que s\u00e3o t\u00edpicos dos sistemas operacionais maiores e modernos. Por isso que os pesquisadores ocasionalmente encontram maneiras de contornar a prote\u00e7\u00e3o existente. Por exemplo, nesse ataque espec\u00edfico, o c\u00f3digo malicioso foi executado com \u00eaxito ao ser colocado, por meio do truque TTF, dentro de um buffer de mem\u00f3ria direcionado a outro protocolo de impress\u00e3o (IPP).<\/p>\n

Cen\u00e1rio de explora\u00e7\u00e3o realista<\/h2>\n

A Canon afirma, no boletim<\/a> que descreve a vulnerabilidade, que ela pode ser explorada remotamente se a impressora estiver acess\u00edvel pela Internet. Por isso, sugerem configurar um firewall para que a impressora s\u00f3 possa ser usada pela rede interna do escrit\u00f3rio. Embora seja um bom conselho e a impressora deva ser removida do acesso p\u00fablico, esse n\u00e3o \u00e9 o \u00fanico cen\u00e1rio de ataque.<\/p>\n

Em seu relat\u00f3rio, Peter Geissler indicou um cen\u00e1rio h\u00edbrido muito mais realista. Nele, o invasor envia a um funcion\u00e1rio um anexo em um e-mail ou mensagem por aplicativo e, sob algum pretexto, sugere que ele seja impresso. Se a v\u00edtima enviar o documento para impress\u00e3o, mesmo que dentro da rede interna da organiza\u00e7\u00e3o e sem qualquer exposi\u00e7\u00e3o \u00e0 Internet, o c\u00f3digo malicioso ser\u00e1 executado na impressora. Obviamente, o malware fica muito mais limitado quando ele \u00e9 executado na impressora em compara\u00e7\u00e3o com um malware que infecta um computador. No entanto, o malware pode, por exemplo, criar um t\u00fanel ao estabelecer uma conex\u00e3o com o servidor do invasor, permitindo que os invasores ataquem outros computadores na organiza\u00e7\u00e3o. Outra possibilidade para esse malware na impressora seria que todas as informa\u00e7\u00f5es impressas na empresa sejam encaminhadas diretamente para o servidor do invasor. Para algumas organiza\u00e7\u00f5es, como escrit\u00f3rios de advocacia, isso pode resultar em uma grave viola\u00e7\u00e3o de dados.<\/p>\n

Como se defender dessa amea\u00e7a \u00e0 impressora<\/h2>\n

A vulnerabilidade CVE-2024-12649 e diversos defeitos intimamente relacionados a ela podem ser eliminados com a atualiza\u00e7\u00e3o do firmware da impressora conforme as instru\u00e7\u00f5es da Canon<\/a>. Infelizmente, muitas organiza\u00e7\u00f5es, mesmo as que se empenham em atualizar o software de computadores e servidores, precisam de um processo sistem\u00e1tico para atualizar o firmware da impressora. O processo deve ser implementado em todos os equipamentos conectados \u00e0 rede de computadores.<\/p>\n

No entanto, os pesquisadores de seguran\u00e7a ressaltam que h\u00e1 uma grande variedade de ataques voltados a equipamentos especializados. Portanto, n\u00e3o h\u00e1 garantia de que os invasores n\u00e3o utilizar\u00e3o um exploit similar e desconhecido pelos fabricantes de impressoras ou seus clientes. Para reduzir o risco de explora\u00e7\u00e3o:<\/p>\n