Drucker werden in Firmennetzwerken häufig so konfiguriert, dass notwendige Treiber an die Clients verteilt werden. Auf diese Weise wird den Administratoren die Wartung vereinfacht. Über das dafür genutzte Point-and-Print-Protokoll können sich allerdings auch Viren verteilen, die vom Nutzer gänzlich unbemerkt bleiben. Ein neuer Patch soll diese Sicherheitslücke schließen.

Installation von Druckertreibern ohne Nutzerwarnung

virus_drucker

Die Idee ist naheliegend wie einfach: Das Herunterladen ausführbarer Dateien wird in gut geschützten Firmennetzwerken normalerweise restriktiv unterbunden – mit einer Ausnahme: Von einem geteilten Laufwerk aus können eben diese Drucker-Dateien ausgeführt werden, ohne dass es zu einer Warnung beim Nutzer selbst kommt – der komplette Vorgang wird als derart vertrauenswürdig eingestuft, dass der Anwender darüber nicht einmal informiert wird – die übliche Warnung der Benutzerkontensteuerung entfällt. Insbesondere in Firmennetzwerken war es dadurch kaum möglich, diese eigentlich gewünschte Installation zu unterbinden. Es war schlicht nicht ausreichend, einem Nutzer-Account Rechte zu entziehen, weil die Installation überhaupt keiner Zustimmung bedurfte.

Fehlende Sicherheit

Forscher haben nachgewiesen, dass sich diese fehlende Sicherheitsabfrage leicht für die Installation von Malware nutzen lässt. Dazu wurde eine DLL-Datei aus dem Drucker mit einem Backdoor-Code versehen. Auf diese Art und Weise konnte sie eine Infizierung von mehreren Clients im lokalen Netzwerk vornehmen – ohne dass eine Warnung erfolgte. Voraussetzung dazu ist allerdings eine Einbindung des Druckers über Active-Directory ins Netzwerk. Dabei zeigten sich Drucker auch in der Vergangenheit schon also wenig resistent gegen äußere Angriffe: Offene Konfigurationsschnittstellen ermöglichen das Einspielen neuer Firmware; in der Folge kommt es auch häufig zu entsprechenden Malware-Attacken. Zuletzt fanden sich an verschiedenen Universitäten in Deutschland Dokumente mit fremdenfeindlichen Inhalten in den Druckern. Dabei war zunächst unklar, ob es sich um eine fehlerhafte Konfiguration oder eine Sicherheitslücke handelte. Offensichtlich haben die Angreifer dabei durch einen Netzwerkscan verfügbare Drucker ausfindig gemacht und diese dann für den Ausdruck der rechten Pamphlete missbraucht. Die betroffenen Universitäten konnten diese Sicherheitslücke im eigenen System allerdings schließen, sodass fehlerhafte Sicherheitseinstellungen als mutmaßliche Ursache genannt werden konnten. Auch in den USA kam es zum Ausdruck von Schreiben mit vergleichbarem Inhalt.

Aktueller Patch schließt Sicherheitslücke

Microsoft hat das aktuelle Sicherheitsproblem in der Druckerverwaltung allerdings durch einen Patch zunächst lösen können. Soll Druckersoftware automatisch installiert werden, der nicht vertraut wird, erscheint nun eine entsprechende Warnmeldung. Ob die Installation der Malware damit im Einzelfall verhindert wird, bleibt zwar fraglich – immerhin werden die Nutzer informiert. Von dieser Sicherheitslücke in der Druckerverwaltung sind sämtliche Windows-Versionen seit Windows 95 betroffen. Allein dadurch zeigt sich, wie lange der Fehler bestehen konnte.


Aktuelle Beiträge immer per Email erhalten. Jetzt eintragen!