Schwachstelle Printer: Sicherheit hat für Hersteller oft keine Priorität

Dass Netzwerk-Drucker in Büroumgebungen ein Sicherheitsrisiko darstellen, ist bekannt. Wie problematisch die Sicherheitslücken allerdings tatsächlich sind, zeigt eine Untersuchung von zwei US-Forschern: bei Geräten verschiedener Hersteller entdeckten sie rund 50 Schwachstellen.

Sicherheit ist für viele grosse Printer-Hersteller, darunter namhafte Marken, wie Brother, HP oder Xerox, offenbar weiterhin zweitrangig. Zu diesem Schluss kommen zwei Forscher der NCC Group, denen es gelang, mit geringem Zeitaufwand gut 50 Schwachstellen in verschiedener Printer-Software nachzuweisen – dies mittels einfachen, automatisierten Tests (sog. Fuzzing). Einige der festgestellten Schwachstellen beurteilen die Security-Spezialisten gar als kritisch. Denn Angreifer könnten über sie – teils auch aus Distanz – Druckaufträge ausleiten, Geräte lahmlegen (Denial-of-Service-Attacken) oder sie gar für Angriffe auf andere Systemkomponenten nutzen, wie das Online-Magazin heise.de schreibt.

Sicherheitstechnisch unausgereift

In ihrem Vortrag mit dem Titel «Why you should fear your “mundane” Office Equipment» an der diesjährigen Sicherheitskonferenz Def Con 27 in Las Vegas gingen die beiden Forscher, Daniel Romero und Mario Rivas, mit den Sicherheitsvorkehrungen mehrerer Drucker-Hersteller hart ins Gericht. Sicherheitskontrollen seien bei Büro-Printern oft kein Thema, wodurch ein grosses Potenzial bestehe, dass die Geräte durch Angreifer, die sich dauerhaft Zugang zu den angegriffenen Organisationen verschaffen wollen, ausgenutzt und missbraucht würden. Insgesamt seien Office-Drucker sicherheitstechnisch «sehr unausgereift».

Mit dem selbst programmierten Fuzzer «Fuzzowski» habe man die besprochenen Schwachstellen in kürzester Zeit festgestellt, weitere Lücken wären zudem bei entsprechendem Aufwand problemlos entdeckt worden, so die Forscher.

Angriffe auf IoT-Geräte schon bald alltäglich?

Die Sicherheitsprobleme bei Druckern hängen laut den beiden Experten nicht zuletzt damit zusammen, dass Printer auf der Bürogeräte-Rangliste oft Plätze weit hinten belegen und Updates deshalb oft zeitverzögert installiert werden. Ein weiterer Mitarbeitender der NCC Group wies gegenüber Help Net Security zudem darauf hin, dass Drucker oft nicht als typische IoT-Geräte verstanden werden – schlicht deshalb, weil es sie bereits seit Jahrzehnten gibt.

Allgemein kann nicht mehr ausgeschlossen werden, dass Angriffe auf IoT-Geräte schon bald zum Alltag gehören. Und gerade Büro-Drucker könnten dabei eine wichtige Rolle spielen. So stellte das Microsoft Security Team im April Angriffe auf drei verbreitete IoT-Geräte fest, darunter auf einen Office-Drucker, ein VoiP-Telefon und ein Video-Abspielgerät. Verantwortlich für die Angriffe war offenbar die APT-Hackergruppe (Advanced Persisitent Threat) Sofacy, wie heise.de schreibt. Möglich waren die Angriffe offenbar unter anderem deshalb, weil bei den Geräten teilweise kritische Sicherheits-Updates nicht installiert wurden.

Details zu verwundbaren Drucker-Marken bzw. -Modellen und entsprechende Updates: