Wenn der Drucker Malware schickt: 20 Jahre alte Windows-Lücke entdeckt

14. Juli 2016, 11:30
10 Postings

Ermöglicht Angriffe über Netzwerke bei Drucker-Installation – neues Windows-Update fügt Warndialog hinzu

Manche Fehler in Betriebssystemen bleiben lange unentdeckt und folglich auch unbehoben. Erst im Juni hat Microsoft eine als "BadTunnel" bekannte Schwäche behoben, die seit 21 Jahren existiert und alle Windows-Versionen seit Windows 95 betrifft.

Jetzt ist erneut eine Leck mit längerer Geschichte aufgetaucht. Die als "kritisch" eingestufte Schwachstelle erlaubt das Einschleusen von Malware während der Installation eines Druckers und hat bereits zwei Jahrzehnte auf dem Buckel.

Das Problem schlummert in der Druckerwarteschleife, jenem Prozess der das System mit Druckern vernetzt, auf neue Aufträge wartet und dafür zuständig ist, sie dem jeweiligen Drucker zu übermitteln. Sie lässt sich dazu missbrauchen, Malware einzuschleusen, berichtet Ars Technica.

Manipulierte Treiber

Basis dafür ist, dass die Schleife, englisch: "Print Spooler", bisher keine ordentliche Authentifizierung von Druckertreibern vorgenommen hat. Verbindet man sich etwa mit einem Netzwerkdrucker, kann über den Spooler der notwendige Treiber direkt vom Drucker selbst oder dem Druckserver bezogen werden. Eine nützliche Komfortfunktion, die dem User ein mühseliges Herunterladen des Treibers aus dem Netz erspart.

Auf diesem Wege ließe sich jedoch einem Nutzer ein manipulierter Treiber unterjubeln, der bösartiges Beiwerk mitbringt, erklären dazu Experten von Vectra. Denkbar ist auch die Überwachung des Netzwerktraffics und die Umleitung von Anfragen an einen echten Drucker an einen Server, der wiederum präparierte Software zur Verfügung stellt.

Attacken wie diese seien über WLAN und auch in kabelbasierten Netzwerken ausführbar und könnten genutzt werden, um Rechner in einem Netzwerk immer wieder mit Malware zu infizieren, sobald sie sich mit dem Drucker verbinden wollen. In Verbindung mit einem anderen Fehler könnten sich aus dem Netzwerk zugreifende Nutzer Administratorprivilegien auf dem anfragenden System verschaffen.

Alle Versionen ab Windows 95 betroffen

Betroffen sind laut Vectra alle Windows-Ausgaben ab Windows 95. Microsoft hat allerdings im Juli-Patchday einen Fix für das Problem geliefert. Dieses würde allerdings nicht die Codeausführung über Druckertreiber unterbinden, sondern nur einen Warn-Dialog bei der Installation eines neuen Druckers hinzufügen. "Wenn man sich ansieht, wie die meisten User auf Warnungen reagieren, sieht das nicht aus wie eine effektive Lösung", gibt man sich bei Vectra skeptisch.

Das Ausnutzungspotenzial des Problems ist allerdings beschränkt. Primär gefährdet sind Nutzer in privaten Netzwerken und Firmen-LANs, mit denen Teilnehmer ohne Restriktionen eigene Geräte verbinden können. Auch in öffentlichen WLANs wäre ein Missbrauch denkbar, dazu müssten Teilnehmer allerdings dazu bewegt werden, sich in einem solchen mit einem Drucker zu verbinden – was üblicherweise kein gängiges Szenario ist.

Kein Patch für XP und Co.

Weiter ungeschützt bleiben Nutzer von Windows-Ausgaben, die von Microsoft offiziell nicht mehr unterstützt werden. Die verbreitetste unter ihnen ist Windows XP, das in den meisten Berechnungen im Moment noch bei einem Marktanteil von rund zehn Prozent liegt. (gpi, 14.07.2016)

  • Der Prozess der Druckerwarteschleife in Windows birgt ein uraltes Leck.
    foto: derstandard.at/pichler

    Der Prozess der Druckerwarteschleife in Windows birgt ein uraltes Leck.

Share if you care.