Categories: DruckerWorkspace

Bochumer Forscher weisen auf Sicherheitslücken in Netzwerkdruckern hin

Forscher der Ruhr-Universität Bochum haben auf mehrere schwerwiegende Schwachstellen in netzwerkfähigen Druckern hingewiesen. Angreifer könnten die Fehler auch aus der Ferne ausnutzen. Ihnen wäre es etwa möglich, in den Druckern gespeicherte Druckaufträge auszulesen. Betroffen sind mindestens 20 Gerätevarianten von den Herstellern Brother, Dell, HP, Kyocera, Konica Minolta, Lexmark, Oki und Samsung.

Update, 4. Februar 2017: In einem Hintergrundartikel geht silicon.de ausführlicher auf die Ergebnisse der Studie ein, zeigt die Schwächen im Detail auf und legt dar, welche Sicherheitsvorkehrungen die Hersteller treffen und was sie Unternehmen empfehlen.

Den Forschern zufolge sind die Anfälligkeiten eigentlich schon seit mehreren Jahren bekannt, wurden aber bislang noch nicht behoben. “Es gibt noch nicht viele wissenschaftliche Publikationen darüber, obwohl die Gefahren von Druckersprachen wie PostScript irgendwie seit Jahrzehnten bekannt sind”, teilt Jens Müller vom Lehrstuhl für Netz- und Datensicherheit der Universität Bochum, mit. Zusammen mit Vladislav Mladenov und Juraj Somorovsky entwickelte er ein Printer Exploitation Toolkit (PRET) genanntes Werkzeug. Mit dessen Hilfe kann ein Nutzer per USB oder auch über das Internet eine Verbindung zu einem Drucker herstellen und Schwachstellen in den gebräuchlichen Druckersprachen wie PostScript und PJL ausnutzen.

Architektur des Printer Exploitation Toolkit PRET (Bild: Jens Müller/Ruhr-Universität Bochum)

Das Toolkit, das auch auf GitHub verfügbar ist, übersetzt einfache Befehle in die komplexen Druckersprachen. Dafür wird lediglich die IP-Adresse eines anfälligen Druckers benötigt. Weitere Details halten die Forscher in einem Wiki bereit.

Die IP-Adressen kann beispielsweise die Suchmaschine Shodan liefern. Bei einem erfolgreichen Angriff könnte ein Hacker den Speicher eines Druckers auslesen und so auf Druckaufträge für möglicherweise vertrauliche Dokumente wie Verträge, Patientendaten oder Finanzdaten von Unternehmen zugreifen.

Angreifer haben nach Angaben der Forscher aber auch Zugang zu den Konfigurationseinstellungen des Druckers und könnten dadurch beispielsweise Anmeldedaten für ein hinterlegtes E-Mail-Konto abgreifen. Auch die Scan- und Faxfunktion eines Multifunktionsdruckers sei angreifbar.

Überblick über die von den RUB-Forschern getesteten Druckermodelle und die jeweils gefundenen Sicherheitslücken (Screenshot: silicon.de)

Der Fehler sei “sehr leicht zu reproduzieren”, so Müller. Von den bereits im Oktober informierten Herstellern habe bisher nur Dell reagiert. Müller betonte aber auch, die Verantwortung liege nicht allein bei den Herstellern. “Für Angriffe auf Standardfunktionen von PostScript und PJL sind die Druckerhersteller nicht wirklich verantwortlich”, da der von Adobe entwickelte Standard fehlerhaft sei. silicon.de hat bei den betroffenen Druckerherstellern und Adobe nachgefragt, wie Firmen mit den Erkenntnissen umgehen sollten. Sobald Antworten vorliegen, wird an dieser Stelle darauf hingewiesen werden.

Die Bochumer Forscher fanden auch eine neue Methode, um über den Browser eines Opfers auf Druckaufträge zuzugreifen. Der neue Angriffe gehe damit “über typische Drucker hinaus” und mache Websites, die Dokumente verarbeiten, oder cloudbasierte Druckdienste wie Google Cloud Print angreifbar. Für die Cross-Site-Drucker-Angriffe seien jedoch nicht die Browser-Anbieter verantwortlich, ergänzte Müller.

Früher aufgedeckte Sicherheitslücken in Netzwerkdruckern

Nicht untersucht haben die Bochumer Forscher Geräte von Xerox. In denen hatten aber Wissenschaftler des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE bereits im Mai 2016 zum wiederholten Male Sicherheitslücken aufgedeckt. Über die ließ sich eine manipulierte Konfigurationsdatei einspielen. Sie ermöglichte dann Unbefugten weitreichenden Zugriff. Besonders ärgerlich für Firmen war, dass diese Lücke grundsätzlich schon 2013 dargestellt, aber auch durch eine spezielle, von Xerox zusammen mit McAfee entwickelte Sicherheitslösung nicht entschärft wurde.

Dass Drucker grundsätzlich ein Sicherheitsproblem darstellen können, hatte der US-Sicherheitsexperten Brendan O’Connor bereits 2006 gezeigt. Damals war es ihm gelungen, auf der Black-Hat-Konferenz die Kontrolle über ein Xerox-Gerät zu übernehmen. Er konnte dann den Aufbau des Firmennetzwerks ausspähen und sich so wertvolle Informationen für weitere Angriffe verschaffen. Außerdem hatte er Zugriff auf alle Dokumente, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden.

2008 warnte die EU-Agentur für European Network and Information Security (ENISA) davor, dass Drucker und Kopierer mit Webzugang eine potenzielle Schwachstelle in Unternehmensnetzwerken sind. Hackern sei es darüber möglich, Daten auszuspionieren und Kundendaten zu stehlen. Die Agentur rief Unternehmen damals dazu auf, dieses Risiko nicht zu unterschätzen.

[mit Material von Stefan Beiersmann, ZDNet.com]

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

2 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

2 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

23 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago