Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

Mithilfe von infizierten oder fingierten Druckertreibern kann Systemkontrolle über Computer innerhalb eines Netzwerks erlangt werden

[datensicherheit.de, 13.07.2016] Vectra® Networks hat am 13. Juli 2016 die jüngsten Ergebnisse des Vectra Threat LabsTM veröffentlicht – die Experten dieser Forschungseinrichtung haben demnach eine kritische Sicherheitslücke bei Microsofts „Windows“ entdeckt, die es Hackern mithilfe von infizierten oder fingierten Druckertreibern ermöglichen soll, die Systemkontrolle über Computer innerhalb eines Netzwerks zu erlangen.

Hacker könnten gravierende Sicherheitslücke ausnutzen!

Das Sicherheitsleck basiere auf einem gängigen Prozess in „Windows“, der es Nutzern erleichtern solle, zu Hause, im Büro oder über das Internet verfügbare Drucker zu suchen, hinzuzufügen und diese umgehend zu nutzen.
Habe die Malware erst einmal Zugriff auf das System erlangt, könne sie sich ausgehend von einem einzigen Drucker im gesamten Netzwerk ausbreiten. „Durch das praktische ,Windows’-Tool, über das Geräte mit den Druckern im Netzwerk verbunden sind, können Hacker eine gravierende Sicherheitslücke für ihre Zwecke ausnutzen“, warnt Günter Ollmann, „Chief Security Officer“ bei Vectra Networks. Während die meisten Devices vor einem Software-Download eine Erlaubnis durch den Nutzer oder Administrator erforderten, könnten Druckertreiber genau diese Beschränkung umgehen. Diese Tatsache mache Drucker zu einem der „größten Gefahrenpotenziale im Netzwerk“, erläutert Ollmann: „Anstatt lediglich ein Gerät mit Malware zu infiltrieren, kann ein Hacker ein einziges Gerät in ein Watering Hole – also eine Falle – verwandeln, das folglich jedes Windows-Gerät infiziert, mit dem es verbunden wird.”

Druckertreiber mit Malware bespielt

Da Drucker bei Software-Updates nicht immer berücksichtigt werden, bergen sie laut Ollmann oftmals Sicherheitslücken. Diese erleichterten es Cyber-Kriminellen ungemein, zulässige Druckertreiber mit Malware zu bespielen: Ist ein solcher Treiber erst einmal installiert, arbeitet die infizierte Datei demnach mit der entsprechenden Systemkontrolle, was dem Hacker wiederum uneingeschränkte Handlungsspielraum über das Gerät verschafft.
Dieses Vorgehen könne beliebig oft wiederholt werden und somit jeden Nutzer, der sich zum ersten Mal mit diesem Drucker verbindet, mit Malware infizieren. „Hinzu kommt, dass diese Angriffsmethodik nicht einmal einen tatsächlich existierenden Drucker benötigt,“ sagt Ollmann. Ein Hacker könnte ein fingiertes Gerät im Netzwerk einrichten und jeden ahnungslosen Nutzer mit Malware infizieren, sobald sich dieser mit dem Gerät verbindet.

Kritische Sicherheitslücke unbedingt beheben!

Darüber hinaus seien Cyber-Kriminelle in der Lage, einen infizierten Druckertreiber über das Internet zur Verfügung zu stellen, ohne jemals Zugang zum lokalen Netzwerk zu erlangen. Mithilfe des „Internet Printing Protocol“ (IPP) oder „Microsoft Web Point-and-Print Protocol“ (MS-WPRN) könnten Angreifer den infizierten Druckertreiber durch herkömmliche webbasierte Vektoren wie unzureichend geschützte Websites oder Anzeigen einrichten.
Die aktuelle Untersuchung offenbare die zahlreichen Möglichkeiten, die Geräte wie beispielsweise Drucker im „Internet of Things“-Zeitalter den Hackern böten, so Ollmann. Solche Geräte würden nur selten als Sicherheitsschwachstellen oder „Watering-Hole“-Gefahren bewertet und stellten somit sowohl für private als auch für Unternehmensnetzwerke blinde Flecken in puncto Internetsicherheit dar. Nutzer von „Windows“ sollten diese kritische Sicherheitslücke unbedingt beheben – insbesondere vor dem Hintergrund, dass dieses Sicherheitsleck großes Potenzial biete, von zahlreichen Hackern ausgenutzt zu werden:
Microsoft sei diese Lücke im April 2016 offengelegt worden, woraufhin die Schwachstelle mit der Kennung „MS16-087 (CVE-2016-3238)“ als kritisch eingestuft worden sei – seit dem 12. Juli 2016 werde ein Patch zur Behebung bereitstellt. Firmen seien dazu angehalten, ihre „Windows“-Systeme umgehend zu aktualisieren.

Foto: Vectra® Networks

Günter Ollmann: Drucker werden zu einem der „größten Gefahrenpotenziale im Netzwerk“

Weitere Informationen zum Thema:

VECTRA, 12.07.2016
Own a printer, own a network with point and print drive-by

VECTRA
Critical printer vulnerability (CVE-2016-3238) discovered in Microsoft Windows