Vectra® Networks, der führende Anbieter für automatisiertes Bedrohungsmanagement, gab heute bekannt, dass Forscher der Vectra Threat Labs™ eine kritische Sicherheitslücke in Microsoft Windows entdeckt haben, die es Angreifern ermöglicht, über infizierte oder gefälschte Druckertreiber die Kontrolle über Computer auf Systemebene zu erlangen.
Die Schwachstelle stammt aus einem Windows-Prozess, der es Benutzern ermöglicht, zu Hause, im Büro und über das Internet schnell nach Druckern zu suchen, sie hinzuzufügen und zu verwenden. Bewaffnet mit Kontrollen auf Systemebene kann sich malware dann von einem Gerät aus über ein ganzes Netzwerk verbreiten.
"Diese spezielle Schwachstelle ermöglicht es einem Angreifer, die Leichtigkeit auszunutzen, mit der sich Windows-Geräte mit Druckern in Netzwerken verbinden", so Günter Ollmann, CSO von Vectra Networks. "Während die meisten Geräte eine spezielle Benutzer- oder Administratorberechtigung erfordern, bevor Software auf ein Gerät heruntergeladen wird, ist es für Druckertreiber möglich, diese Einschränkungen zu umgehen."
"Das macht Drucker zu einem der stärksten Bedrohungsvektoren in einem Netzwerk", so Ollmann weiter. "Anstatt einzelne Benutzer zu infizieren, kann ein Angreifer einen Drucker in ein Wasserloch verwandeln, das jedes Windows-Gerät infiziert, das damit in Berührung kommt."
Da Drucker nicht immer vorrangig mit Routine-Patches und -Updates versorgt werden, bleiben sie oft mit offenen Schwachstellen zurück, die es einem Angreifer ermöglichen, einen legitimen Druckertreiber einfach gegen einen mit bösartiger Nutzlast auszutauschen.
Nach der Installation wird die bösartige Datei mit Berechtigungen auf Systemebene ausgeführt, wodurch der Angreifer die volle Kontrolle über den Computer erhält. Dieser Vorgang kann unbegrenzt wiederholt werden und jeden neuen Benutzer infizieren, der eine Verbindung zu diesem Drucker herstellt.
"Außerdem benötigt dieser Angriff nicht einmal einen physischen Drucker, um gestartet zu werden", so Ollmann. "Ein Angreifer könnte einen gefälschten Drucker im Netzwerk einrichten und die bösartige Nutzlast an jeden ahnungslosen Benutzer senden, der eine Verbindung zu diesem Drucker herstellt.
Ein Angreifer kann einen bösartigen Druckertreiber auch über das Internet verbreiten, ohne jemals auf das lokale Netzwerk zuzugreifen. Durch Ausnutzung des Internet Printing Protocol (IPP) oder des Microsoft Web Point-and-Print Protocol (MS-WPRN) kann ein Angreifer den bösartigen Treiber über normale webbasierte Vektoren wie kompromittierte Websites oder Werbung über das Internet bereitstellen.
"Diese Untersuchung unterstreicht die vielen Möglichkeiten, die IoT-Geräte wie Drucker für Angreifer bieten", so Ollmann. "Solche Geräte werden selten auf Sicherheitslücken, Hintertüren oder als Watering Hole-Bedrohungen untersucht und stellen einen wachsenden blinden Fleck für Unternehmens- und Heimnetzwerke dar. Microsoft Windows-Nutzer sollten diesen kritischen Patch umgehend installieren, da die Schwachstelle wahrscheinlich schon bald von Angreifern ausgenutzt werden wird."
Vectra hat diese Sicherheitslücke im April 2016 gegenüber Microsoft offengelegt. Microsoft hat diese Schwachstelle als kritisch MS16-087 (CVE-2016-3238) eingestuft und heute einen Patch veröffentlicht. Unternehmen wird empfohlen, ihre Windows-Systeme sofort zu patchen.
Die Vectra Threat Labs sind der Forschungszweig von Vectra Networks und arbeiten genau an der Schnittstelle zwischen Sicherheitsforschung und Datenwissenschaft. Die Forscher gehen unerklärlichen Phänomenen in Kundennetzwerken auf den Grund, um die Ursachen für das beobachtete Verhalten zu finden.
Die Berichte und Blogs der Vectra Threat Labs geben Aufschluss über die Ziele des Angreifers, stellen sie in den Kontext der breit angelegten Kampagne des Angreifers und bieten Einblicke in dauerhafte Methoden zur Erkennung und Eindämmung von Bedrohungen.
Wenn man sich auf das eigentliche Ziel eines Angreifers konzentriert und über die möglichen Methoden zur Erreichung dieses Ziels nachdenkt, kann man zu Erkennungsmethoden gelangen, die über längere Zeiträume hinweg überraschend effektiv sind. Um Schwachstellen in unserer Plattform zu melden, senden Sie uns eine E-Mail an security@vectranetworks.com.
Vectra® Networks ist der führende Anbieter von automatisierten Bedrohungsmanagement-Lösungen für die Echtzeit-Erkennung von laufenden Cyber-Angriffen. Die Lösung des Unternehmens korreliert automatisch Bedrohungen mit Hosts, die angegriffen werden, und liefert einzigartige Informationen darüber, was Angreifer tun, sodass Unternehmen Verluste schnell verhindern oder abmildern können. Vectra priorisiert die Angriffe, die das größte Geschäftsrisiko darstellen, und ermöglicht es Unternehmen, schnell zu entscheiden, worauf sie Zeit und Ressourcen konzentrieren müssen. Im Jahr 2015 wurde Vectra von Gartner als "Cool Vendor in Security Intelligence" ausgezeichnet, weil es die Herausforderungen bei der Erkennung von Bedrohungen nach einem Einbruch meistert. Bei den American Business Awards wurde Vectra außerdem mit dem Gold Award für das Tech-Startup des Jahres 2015 ausgezeichnet. Zu den Investoren von Vectra gehören Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures und DAG Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien, und die regionale Europazentrale in Zürich, Schweiz. Weitere Informationen finden Sie unter www.vectranetworks.com.
###
Vectra und das Vectra Networks-Logo sind eingetragene Marken und Security that thinks, die Vectra Threat Labs und der Threat Certainty Index sind Marken von Vectra Networks. Andere Marken-, Produkt- und Dienstleistungsnamen sind Marken, eingetragene Marken oder Dienstleistungsmarken der jeweiligen Inhaber.