news release

Vectra Networks deckt auf: Sicherheitslücke in Microsoft Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

July 13, 2016

Vectra® Networks, der führende Anbieter von automatisiertem Gefahrenmanagement, veröffentlicht heute die jüngsten Ergebnisse des Vectra Threat LabsTM: Die Experten der Forschungseinrichtung haben eine kritische Sicherheitslücke bei Microsoft Windows entdeckt, die es Hackern mithilfe von infizierten oder fingierten Druckertreibern ermöglicht, die Systemkontrolle über Computer innerhalb eines Netzwerks zu erlangen.

Das Sicherheitsleck basiert auf einem gängigen Prozess in Windows, der es Nutzern erleichtern soll, zu Hause, im Büro oder über das Internet verfügbare Drucker zu suchen, hinzuzufügen und diese umgehend zu nutzen. Hat die Malware erst einmal Zugriff auf das System erlangt, kann sie sich ausgehend von einem einzigen Drucker im gesamten Netzwerk ausbreiten. „Durch das praktische Windows-Tool, über das Geräte mit den Druckern im Netzwerk verbunden sind, können Hacker eine gravierende Sicherheitslücke für ihre Zwecke ausnutzen“, so Günter Ollmann, Chief Security Officer bei Vectra Networks. Während die meisten Devices vor einem Software Download eine Erlaubnis durch den Nutzer oder Administrator erfordern, können Druckertreiber genau diese Beschränkung umgehen.

"Diese Tatsache macht Drucker zu einem der größten Gefahrenpotenziale im Netzwerk," führt Ollmann weiter aus. "Anstatt lediglich ein Gerät mit Malware zu infiltrieren, kann ein Hacker ein einziges Gerät in ein Watering Hole – also eine Falle – verwandeln, das folglich jedes Windows-Gerät infiziert, mit dem es verbunden wird."

So funktioniert es

Da Drucker bei Software Updates nicht immer berücksichtigt werden, bergen sie oftmals Sicherheitslücken. Diese erleichtern es Cyber-Kriminellen ungemein, zulässige Druckertreiber mit Malware zu bespielen. Ist ein solcher Treiber erst einmal installiert, arbeitet die infizierte Datei mit der entsprechenden Systemkontrolle, was dem Hacker wiederum uneingeschränkte Handlungsspielraum über das Gerät verschafft. Dieses Vorgehen kann beliebig oft wiederholt werden und somit jeden Nutzer mit Malware infizieren, der sich zum ersten Mal mit diesem Drucker verbindet.

"Hinzu kommt, dass diese Angriffsmethodik nicht einmal einen tatsächlich existierenden Drucker benötigt," erklärt Ollmann. "Ein Hacker kann ein fingiertes Gerät im Netzwerk einrichten und jeden ahnungslosen Nutzer mit Malware infizieren, sobald sich dieser mit dem Gerät verbindet."

Darüber hinaus sind Cyber-Kriminelle in der Lage, einen infizierten Druckertreiber über das Internet zur Verfügung zu stellen, ohne jemals Zugang zum lokalen Netzwerk zu erlangen. Mithilfe des Internet Printing Protocol (IPP) oder Microsoft Web Point-and-Print Protocol (MS-WPRN) können Angreifer den infizierten Druckertreiber durch herkömmliche webbasierte Vektoren wie unzureichend geschützte Websites oder Anzeigen einrichten.

"Die aktuelle Untersuchung offenbart die zahlreichen Möglichkeiten, die Geräte wie beispielsweise Drucker im «Internet of Things-Zeitalter» den Hackern bieten," erklärt Ollmann. "Solche Geräte werden nur selten als Sicherheitsschwachstellen oder Watering-Hole-Gefahren bewertet und stellen somit sowohl für private als auch für Unternehmensnetzwerke blinde Flecken in puncto Internetsicherheit dar. Nutzer von Microsoft Windows sollten diese kritische Sicherheitslücke unbedingt beheben – insbesondere vor dem Hintergrund, dass dieses Sicherheitsleck großes Potenzial bietet, von zahlreichen Hackern ausgenutzt zu werden."

Vectra hat Microsoft diese Lücke im April 2016 offengelegt, woraufhin das Unternehmen die Schwachstelle mit der Kennung MS16-087 ((CVE-2016-3238) als kritisch eingestuft hat und seit dem 12. Juli einen Patch zur Behebung bereitstellt. Firmen sind dazu angehalten, ihre Windows Systeme umgehend zu aktualisieren.

Weitere technische Details zu MS16-087 (CVE-2016-3238) hat das Vectra Threat Labs-Team in einem Blogbeitrag zur Verfügung gestellt. Mehr Informationen zu der Sicherheitslücke finden sich zudem auf der Vectra Homepage.

Über Vectra Threat Labs

Als der Gefahrenforschungs-Zweig von Vectra Networks, operiert das Vectra Threat Lab an der Schnittstelle von Sicherheitsforschung und Data Science. Die Forscher gehen ungeklärten Ereignissen in Netzwerken von Kunden nach, um Ursachen für das dort beobachtete Verhalten zu finden. Berichte und Blogbeiträge des Vectra Threat Lab stellen die Ziele von Hackern in den Mittelpunkt und setzen diese in einen übergeordneten Kontext.

Darüber hinaus gewähren die Ergebnisse des Vectra Threat Lab Einblicke in beständige Lösungsansätze, um Gefahren zu erkennen und zu vermindern. Die Forscher konzentrieren sich bei ihren Untersuchungen auf die Angriffsziele von Hackern und die potentiellen Methoden, mit denen diese vorgehen – ein essentieller Ansatz, um zuverlässige und langfristige Erkennungsmethoden von Gefahren zu entwickeln. Schwachstellen auf der Vectra Kundenplattform können an folgende E-Mail Adresse gemeldet werden. Security@vectranetworks.com.

Über Vectra Networks

Vectra Networks™ ist der führende Anbieter von Lösungen zum automatisierten Gefahrenmanagement und Echtzeit-Erkennung laufender Cyber-Angriffe. Die Lösung des Unternehmens erkennt Gefahren gegenüber angegriffenen Nutzern automatisch und bietet einen außergewöhnlichen Einblick in die stattfindende Hackeraktivität. Dadurch kann Datenverlust unverzüglich verhindert oder begrenzt werden. Vectra priorisiert die Gefahren, die das größte Risiko darstellen, wodurch Unternehmen umgehend handeln und ihre Ressourcen gezielt einsetzen können. 2015 wurde Vectra von Gartner als „Cool Vendor in Security Intelligence" ausgezeichnet. Gartner würdigte damit das Unternehmen dafür, dass es die Herausforderungen bei der Erkennung von Bedrohungen nach einem sicherheitsrelevanten Vorfall adressiert. Zudem wurde Vectra bei den American Business Awards mit dem Gold Award in der Kategorie Tech Startup 2015 ausgezeichnet. Zu den Investoren von Vectra zählen Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures und DAG Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien mit einem weiteren Firmensitz in Zürich. Weitere Informationen erhalten Sie unter www.vectranetworks.com/dach.

###

Vectra und das Vectra Networks Logo sind eingetragene Marken. Sicherheit, die mitdenkt, das Vectra Threat Labor sowie der Vectra Threat Certainty Index sind Handelsmarken von Vectra Networks. Andere Marken-, Produkt und Servicebezeichnungen sind Handelsmarken, registrierte Handelsmarken oder Dienstleistungszeichen von den entsprechenden Inhabern.

Media contact

press@vectra.ai

Most recent news releases

Vectra announces 104% growth in annual recurring revenue during 2018

January 15, 2019
Read news release

Vectra is presented with the Grand Trophy at the 2018 Golden Bridge Awards

December 6, 2018
Read news release

Vectra is ranked the 116th fastest growing company in North America on Deloitte’s 2018 Technology Fast 500™

November 15, 2018
Read news release