r   e   k   l   a   m   a
r   e   k   l   a   m   a

Złośliwe drukarki od 20 lat mogły bezkarnie atakować Windowsa

Strona główna AktualnościBEZPIECZEŃSTWO

Niewiele osób rozumie podsystem wydruku Windowsa. Ot zwykle klikamy dalej, dalej, i czasem drukuje, a czasem nie. Wnikliwi badacze z firmy Vectra Networks odkryli jednak w tym bardzo ciekawy błąd, który od 20 lat pozwalał instalować na komputerach z Windowsami złośliwe oprogramowanie. Wektor ataku? Złośliwa drukarka, albo też dowolne urządzenie, które drukarkę udaje. Problem jest w tym, że w imię wygody użytkowników, po połączeniu nie zachodziły żadne procedury uwierzytelnienia. Komu by się chciało wpisywać hasło administratora przy łączeniu się z drukarką w sieci lokalnej?

Na swoim blogu badacze opisali podatność tkwiącą w usłudze Windows Print Spooler, która zarządza procesem łączenia z drukarkami i drukowania dokumentów. Microsoft wymyślił sobie protokół, który sprawiał, że przy pierwszym połączeniu z drukarką sieciową w ramach tej usługi automatycznie pobierane są sterowniki – przechowywane albo na drukarce, albo na serwerze wydruku.

Nic jednak nie stało na przeszkodzie w tym, by pobrany sterownik został wcześniej odpowiednio uzłośliwiony, niczym się jednak dla Windowsa od normalnego nie odróżniając. W ten sposób każde podłączone do sieci lokalnej urządzenie, które było drukarką lub zachowywało się jak drukarka, mogło równie dobrze być gotowym exploit kitem, zdolnym do stałego zarażania komputerów, Windows bowiem uzłośliwione sterowniki instaluje automatycznie. W końcu kiedy ostatnio ktoś uruchamiał skanery antywirusowe na drukarce?

r   e   k   l   a   m   a

Gunter Ollman z Vectra Networks tłumaczy: problem w tym, że sterownik nie musi być sterownikiem, może to być dowolny kod wykonywalny: ta podatność pozwala wykorzystać drukarkę z fałszywym sterownikiem lub złośliwym plikiem wykonywalnym do automatycznego zainstalowania i wykonania na dowolnym Windowsie w sieci, który akurat szuka drukarki lub chce drukować.

Ten sam problem dotyczy też wirtualnych drukarek, tak więc wektorem ataku może stać się dowolna sieć hostująca obraz wirtualnej drukarki, a nawet mechanizm pozwalający na druk przez Internet (IPP/webPointNPrint) – wówczas to exploit osadzony zostaje w serwerze webowym i wykonany poprzez Internet Explorera, zmuszając zaatakowaną maszynę do instalowania złośliwego sterownika.

Póki co nie zaobserwowano takich ataków, ale to nie znaczy, że ich nigdy nie było, szczególnie że potencjał mają spory – Microsoft, zdaniem badaczy, nigdy nie interesował się dotąd bezpieczeństwem druku. Słynny ekspert HD Moore przedstawił scenariusz, w którym wykorzystuje się laptopa czy inne przenośne urządzenie, udające że jest drukarką – i które po włączeniu do sieci lokalnej dostarcza wszystkim uzłośliwionych sterowników. Innych sposób to monitorowanie ruchu do prawdziwej drukarki, zaczekanie aż ofiara doda ją do swojego systemu, a wówczas wykorzystanie ataków sieciowych do przejęcia ruchu i wstrzyknięcia złośliwego sterownika.

Luki wykorzystane do tego ataku zostały załatane w ostatnim cyklu aktualizacji Windowsa, w ramach biuletynu bezpieczeństwa MS16-087, oznaczonego przez Microsoft jako „krytyczny”. Nie cieszcie się jednak za bardzo, Microsoft wcale luki nie załatał. Po prostu dodał do procesu instalacji okno dialogowe z ostrzeżeniem. HD Moore zauważył, że biorąc pod uwagę to, jak użytkownicy zachowują się wobec okienek dialogowych z ostrzeżeniami, to raczej nie sądzi, by było to skuteczne.

Spodziewajmy się więc szybkiego skomercjalizowania ataków na podsystem wydruku Windowsa – ludzie przecież lubią szybko klikać, a nie lubią czytać systemowych komunikatów.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.