Sicherheitsforscher von Vectra Threat Labs haben kürzlich eine kritische Sicherheitslücke entdeckt, die alle Versionen von Microsoft Windows bis zurück zu Windows 95 betrifft. Die Schwachstelle ermöglicht es einem Angreifer, Code auf Systemebene entweder über ein lokales Netzwerk oder das Internet auszuführen. Angreifer könnten diese Schwachstelle nutzen, um einen Endbenutzer über das Internet zu infizieren und sich dann über das interne Netzwerk auszubreiten.
Vectra und Microsoft haben bei der Untersuchung dieses Problems zusammengearbeitet, und Microsoft hat im Rahmen des Security Bulletin MS16-087, das hier verfügbar ist, eine Lösung bereitgestellt.
Die Schwachstellen CVE-2016-3238 (MS16-087) undCVE-2016-3239 sind auf die Art und Weise zurückzuführen, wie sich Benutzer mit Druckern im Büro und über das Internet verbinden. Diese Schwachstelle könnte es einem relativ unbedarften Angreifer ermöglichen, IoT-Geräte als Teil eines Angriffs einzubinden und schnell in ein Netzwerk einzudringen und sich dort unentdeckt zu verbreiten. Während dieser Blog einen Überblick über die Schwachstelle gibt, können Sie die ausführliche technische Analyse hier lesen. Außerdem ist hier eine Videozusammenfassung der Sicherheitslücke verfügbar.
Die fragliche Schwachstelle betrifft die Art und Weise, wie Netzwerkbenutzer Drucker in einem Netzwerk finden und verwenden. Es versteht sich von selbst, dass moderne Unternehmen oft viele Benutzer haben und auch viele verschiedene Druckermarken und -modelle einsetzen. Die Benutzer erwarten, dass sie sich mit dem Drucker verbinden und ihn benutzen können, der für sie am bequemsten ist, und auch mobile Benutzer erwarten, dass sie ins Büro kommen und drucken können.
Um diese Benutzer bedienen zu können, benötigen Organisationen eine Möglichkeit, die erforderlichen Druckertreiber an die Benutzer zu liefern, die sie benötigen. Anstatt alle möglichen Treiber an alle Benutzer zu verteilen, verwenden viele Netzwerke den Microsoft Web Point-and-Print (MS-WPRN)-Ansatz, der es einem Benutzer ermöglicht, eine Verbindung zu einem beliebigen Drucker im Netzwerk herzustellen, und der Drucker oder Druckserver liefert bei Bedarf den entsprechenden Treiber. Um dies so einfach und nahtlos wie möglich zu gestalten, werden diese Treiber oft ohne Warnung oder Auslösung der Benutzerkontensteuerung (UAC) bereitgestellt.
Das Problem ist, dass es sich bei diesen Treibern um Treiber auf Systemebene handelt, die in Druckern untergebracht sind, die ihrerseits in der Regel nicht gut gesichert sind. Zusammengenommen haben wir es also mit einem schwach gesicherten Gerät zu tun, das mit fast jedem Windows-Endgerät kommuniziert und dem man zutraut, einen Treiber auf Systemebene ohne Prüfungen oder Warnungen zu liefern. Wenn Ihnen jetzt nicht die Nackenhaare zu Berge stehen, sollten Sie es tun.
Ein lokaler Angreifer im Netzwerk könnte den gültigen Treiber leicht durch eine bösartige Datei ersetzen. Wenn ein neuer Benutzer versucht, eine Verbindung zum Drucker herzustellen, wird die bösartige Datei bereitgestellt und mit Berechtigungen auf Systemebene ausgeführt, wodurch dem Angreifer die Kontrolle über das Gerät übertragen wird. Dieser Vorgang könnte sich unbegrenzt wiederholen und jeden neuen Benutzer infizieren, der die Wasserstelle des Druckers besucht.
Wie könnte also ein Angreifer die fragliche bösartige Datei auf den Drucker bringen? Nun, er hätte mehrere Möglichkeiten. Bei Druckern sind oft viele Dienste aktiviert und sie sind in der Regel nicht besonders sorgfältig gepatcht, so dass es für einen geschickten Angreifer relativ einfach ist, eine Sicherheitslücke zu finden, die er ausnutzen kann. Eine noch einfachere Methode wäre es, Standard-Anmeldedaten wie admin/admin zu verwenden, mit denen sich der Angreifer direkt beim Drucker anmelden könnte. Alternativ könnte ein Angreifer einen gefälschten Drucker erstellen, um ihn im Netzwerk bekannt zu machen.
Bis jetzt fühlen Sie sich vielleicht relativ sicher, denn all dies setzt voraus, dass sich der Angreifer bereits in Ihrem Netzwerk befindet. Der gleiche Mechanismus funktioniert jedoch auch über das Internet mit dem Microsoft Internet Printing Protocol und Web PointNPrint. Dies öffnet Tür und Tor für Infektionen, die über normale webbasierte Vektoren wie kompromittierte Websites oder Werbung über das Internet übertragen werden. Ein bisschen Javascript in einer Werbung könnte leicht eine Anfrage an einen entfernten "Drucker" auslösen, der dann den bösartigen Treiber an das Opfer liefert. Mit diesen beiden Ansätzen könnte ein Angreifer einen Benutzer von außen infizieren und dann seine neu gewonnene interne Position nutzen, um sich seitlich im Netzwerk auszubreiten.
Seit dem 12. Juli 2016 hat Microsoft im Rahmen des Security Bulletin MS16-087 einen Patch für diese Sicherheitslücke bereitgestellt, und es wird dringend empfohlen, dass Unternehmen den Patch so bald wie möglich anwenden. Sie ist auch ein Beispiel für die wichtige Rolle, die IoT-Geräte für die Sicherheit des Netzwerks spielen. Diese Geräte können schwer zu patchen und zu überwachen sein und können schnell zu einem blinden Fleck für Sicherheitsmaßnahmen werden. Dies ist ein guter Grund, den gesamten internen Datenverkehr unabhängig vom Gerätetyp zu überwachen.