{"id":31664,"date":"2025-11-28T11:37:44","date_gmt":"2025-11-28T09:37:44","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31664"},"modified":"2025-11-28T12:01:40","modified_gmt":"2025-11-28T10:01:40","slug":"canon-ttf-vulnerability-printer-risk","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/canon-ttf-vulnerability-printer-risk\/31664\/","title":{"rendered":"Impresoras atacadas por\u2026 fuentes"},"content":{"rendered":"

Hoy en d\u00eda, los atacantes que investigan la infraestructura de una organizaci\u00f3n rara vez se encuentran con el lujo de una estaci\u00f3n de trabajo sin un agente de EDR<\/a>, por lo que los individuos malintencionados se est\u00e1n centrando en poner en riesgo servidores o dispositivos especializados conectados a la red con privilegios de acceso bastante amplios pero que carecen de protecci\u00f3n EDR y, a menudo, incluso de capacidades de registro.<\/p>\n

Ya hemos escrito en detalle sobre los tipos de dispositivos de oficina vulnerables<\/a>. Los ataques del mundo real en 2025 se centran en dispositivos de red (como puertas de enlace VPN, firewalls y routers), sistemas de videovigilancia y los propios servidores.<\/p>\n

Pero las impresoras tampoco deben pasarse por alto, tal como record\u00f3 el investigador independiente Peter Geissler a la audiencia en la Cumbre de Analistas de Seguridad 2025<\/a>. Habl\u00f3 sobre una vulnerabilidad que hab\u00eda encontrado en las impresoras Canon (CVE-2024-12649<\/a>, CVSS 9.8), que permite ejecutar c\u00f3digo malicioso en estos dispositivos. Y el aspecto m\u00e1s interesante de vulnerabilidad es que para aprovecharse de ella solo hace falta enviar un archivo de aspecto inocente a imprimir.<\/p>\n

Trojan Type Font: un ataque a trav\u00e9s de CVE-2024-12649<\/h2>\n

El ataque comienza enviando un archivo XPS para imprimir. Este formato (creado por Microsoft) contiene todos los requisitos previos para imprimir documentos con \u00e9xito y sirve como una alternativa al PDF. XPS es esencialmente un archivo comprimido ZIP que contiene una descripci\u00f3n detallada del documento, todas sus im\u00e1genes y las fuentes utilizadas. Las fuentes generalmente se almacenan en el popular formato TTF (TrueType Font) inventado por Apple. Y es la propia fuente, algo que normalmente no se percibe como peligroso, lo que contiene el c\u00f3digo malicioso.<\/p>\n

El formato TTF fue dise\u00f1ado para hacer que las letras se vean id\u00e9nticas en cualquier medio y para que se adapten de forma correcta a cualquier tama\u00f1o, desde el car\u00e1cter m\u00e1s peque\u00f1o en una pantalla hasta el m\u00e1s grande en un p\u00f3ster impreso.<\/p>\n

Para lograr este objetivo, cada letra puede tener instrucciones de hinting de fuentes<\/a> escritas para ella, que describen los matices de visualizaci\u00f3n de letras de tama\u00f1o peque\u00f1o.<\/p>\n

En esencia, estas instrucciones son comandos para una m\u00e1quina virtual compacta que, a pesar de su simplicidad, admite todos los componentes b\u00e1sicos de la programaci\u00f3n: administraci\u00f3n de memoria, saltos y bifurcaciones.<\/p>\n

Geissler y sus colegas estudiaron c\u00f3mo se implementa esta m\u00e1quina virtual en las impresoras Canon. Han descubierto que algunas instrucciones de hinting de TTF se ejecutan de forma no segura<\/a>. Por ejemplo, los comandos de la m\u00e1quina virtual que administran la pila no verifican si hay un exceso.<\/p>\n

Como resultado, han logrado crear una fuente maliciosa. Cuando un documento que lo contiene se imprime en ciertas impresoras Canon, provoca un desbordamiento de pila, escribe datos m\u00e1s all\u00e1 de los b\u00faferes de la m\u00e1quina virtual y, en \u00faltima instancia, logra la ejecuci\u00f3n del c\u00f3digo en el procesador de la impresora. Todo el ataque se realiza a trav\u00e9s del archivo TTF; el resto del contenido del archivo XPS es benigno. De hecho, detectar el c\u00f3digo malicioso incluso dentro del archivo TTF es bastante dif\u00edcil: no es muy largo, la primera parte contiene instrucciones de la m\u00e1quina virtual de TTF y la segunda parte se ejecuta en el ex\u00f3tico sistema operativo exclusivo de Canon (DryOS).<\/p>\n

Cabe se\u00f1alar que, en los \u00faltimos a\u00f1os, Canon se ha centrado en proteger el firmware de la impresora. Por ejemplo, utiliza registros DACR<\/a> e indicadores NX (no-execute) compatibles con procesadores ARM para limitar la capacidad de modificar el c\u00f3digo del sistema o ejecutar c\u00f3digo en fragmentos de memoria destinados \u00fanicamente al almacenamiento de datos.<\/p>\n

A pesar de estos esfuerzos, la arquitectura general de DryOS no permite una implementaci\u00f3n efectiva de mecanismos de protecci\u00f3n de la memoria, como ASLR<\/a> o stack canary<\/a>, que son t\u00edpicos de los sistemas operativos modernos m\u00e1s completos.<\/p>\n

Por esto es que los investigadores encuentran formas de eludir la protecci\u00f3n existente de vez en cuando. Por ejemplo, en el ataque del que estamos hablando, el c\u00f3digo malicioso se ejecut\u00f3 con \u00e9xito al colocarlo en un b\u00fafer de memoria destinado a un protocolo de impresi\u00f3n diferente (IPP) con el truco de TTF.<\/p>\n

Escenario de aprovechamiento realista<\/h2>\n

En el bolet\u00edn<\/a> que describe la vulnerabilidad, Canon afirma que la vulnerabilidad se puede explotar de forma remota si es posible acceder a la impresora a trav\u00e9s de Internet. En consecuencia, sugieren configurar un firewall para que la impresora solo se pueda usar desde la red interna de la oficina. Si bien este es un buen consejo y es cierto que la impresora deber\u00eda quitarse del acceso p\u00fablico, este no es el \u00fanico escenario de ataque.<\/p>\n

En su informe, Peter Geissler apunt\u00f3 a un escenario h\u00edbrido mucho m\u00e1s realista en el que el atacante env\u00eda a un empleado un archivo adjunto en un correo electr\u00f3nico o a trav\u00e9s de un servicio de mensajer\u00eda instant\u00e1nea y, con un pretexto u otro, sugiere que lo imprima. Si la v\u00edctima env\u00eda el documento a imprimir (dentro de la red de la organizaci\u00f3n interna y sin ninguna exposici\u00f3n a Internet) el c\u00f3digo malicioso se ejecuta en la impresora.<\/p>\n

Desde luego, las capacidades del malware cuando se ejecuta en la impresora ser\u00e1n limitadas en comparaci\u00f3n con el malware que infecta un ordenador en toda regla. Sin embargo, podr\u00eda, por ejemplo, crear un t\u00fanel al establecer una conexi\u00f3n con el servidor del atacante, lo que permitir\u00eda a los atacantes apuntar a otros ordenadores de la organizaci\u00f3n.<\/p>\n

Otro caso de uso potencial de este malware en la impresora podr\u00eda tener como resultado el reenv\u00edo de toda la informaci\u00f3n que se imprime en la empresa directamente al servidor del atacante. En ciertas organizaciones, como los bufetes de abogados, esto podr\u00eda causar una filtraci\u00f3n de datos grave.<\/p>\n

C\u00f3mo defenderse de la amenaza de la impresora<\/h2>\n

La vulnerabilidad CVE-2024-12649 y varios defectos estrechamente relacionados se pueden eliminar instalando la actualizaci\u00f3n del firmware de la impresora de acuerdo con las instrucciones de Canon<\/a>. Por desgracia, muchas organizaciones (incluso aquellas que actualizan diligentemente el software en ordenadores y servidores) carecen de un proceso sistem\u00e1tico para actualizar el firmware de la impresora. El proceso debe implementarse para todos los equipos conectados a la red inform\u00e1tica.<\/p>\n

Sin embargo, los investigadores de seguridad enfatizan que hay una multitud de vectores de ataque dirigidos a equipos especializados. Por lo tanto, no hay garant\u00eda de que los atacantes no se armen ma\u00f1ana con un exploit similar desconocido para los fabricantes de impresoras o sus clientes. Para minimizar el riesgo de aprovechamiento:<\/p>\n