Sicherheitslücke Drucker? Wie real ist das?

[marques]

Hallo zusammen,

ich habe da eine paar Fragen an die Experten hier im Forum.
Wie real ist die Gefahr ausgehend von einem im Netzwerk eingebundenen WLAN-Drucker mit USB-Port im Bezug auf Ransomware/Trojaner etc. bei folgenden Szenarien:

- "verseuchtes" USB Gerät angeschlossen an Drucker und Drucker gleichzeitig im Netzwerk angebunden
- Drucker im Netzwerk eingebunden an dem mal ein "verseuchter" USB Stick steckte
- Drucker im Netzwerk über RJ45 verbunden, aber WLAN wegen Wifi Direct eingeschaltet

Im Netzwerk ist ein PC / Server, der mit aktueller Software und Firewall ausgestattet ist.
Kann da durch den Drucker eine Schadsoftware auf den Server / den PC gelangen? Würde die Software / Firewall sich da auch melden?


Des Weiteren würde mich in diesem Zuge auch interessieren, ob man einen Drucker irgendwie prüfen kann ob dieser nicht im Speicher eine Malware versteckt hat?
Würde ein "Factory Reset" den Speicher so löschen, dass auch eine eventuelle Schadsoftware mit weg wäre?

Danke vorab für eure Antworten.

Gruß

 

[Liesel Weppen]

Kann da durch den Drucker eine Schadsoftware auf den Server / den PC gelangen? Würde die Software / Firewall sich da auch melden?

Ausschließen kann man das nie. Des hängt davon ab wie der Server mit dem Drucker interagiert und welche Art von Sicherheitslücken von der Schadsoftware ausgenutzt werden.
Prinzipiell kann aber ein infiziertes Gerät im Netzwerk immer auch andere Geräte im Netzwerk angreifen oder inspizieren.
Das heisst, auch wenn der kompromitierte Drucker den Server nicht direkt infizieren kann, so kann er ggf. trotzdem auslesen, welche Freigaben dieser Drucker zur Verfügung stellt oder auch dort bereitgestellte Inhalte ins Internet weiterreichen. Ebenso kann er als "Kopfstation" für weitere Angriffsversuche dienen.

Würde ein "Factory Reset" den Speicher so löschen, dass auch eine eventuelle Schadsoftware mit weg wäre?

Wenn ein Factoryreset den kompletten Speicher des Druckers überschreibt... im Gegensatz z.B. zu nur Defaulteinstellungen wiederherzustellen... dann kann man relativ aber halt auch nicht zu 100% davon ausgehen, das ein Reset potentielle Malware entfernen würde.
Aber ob bei einem Reset wirklich der gesamte Speicher überschrieben wird, das musst du den Druckerhersteller fragen.

 

[marques]

Danke schonmal für deine Antwort.
Wäre halt die Frage ob eine Firewall / Antivirensoftware bei solchen Zugriffen dann auch „Alarm“ schlagen würde?

 

[Liesel Weppen]

Wäre halt die Frage ob eine Firewall / Antivirensoftware bei solchen Zugriffen dann auch „Alarm“ schlagen würde?

Tut sie evtl. Kommt darauf an, auf welche Art ein potentiell kompromitiertes Gerät (egal ob Drucker oder ein WLAN-AP oder was auch immer) weitere Angriffsversuche durchführt.

Versucht das Ding einen Bruteforce um irgendein Adminpasswort zu eraten, wird eine gute Firewall wohl anschlagen. Gibts irgendeinen Zero-Day-Exploit der ausgenutzt wird, wird eine Firewall das vielleicht nicht erkennen. Und das alles greift sowieso nur, wenn die Firewall zwischen Angreifer und Ziel ist. Also eine Firewall zwischen lokalem Netzwerk und Internet hilft nichtmehr viel, wenn das angreifende Gerät schon innerhalb des Netzwerks ist, auch wenn das "nur" ein Drucker ist. Nur zur Sicherheit nochmal erwähnt. Wenn der Server nochmal eine lokale Firewall hat, sieht das natürlich nochmal anders aus.

Das sind immer Bleeding-Edge Fragen, die sich niemals pauschal beantworten lassen. Es kommt immer darauf an, was gerade abgeht.

Die "pauschale" Antwort ist denkbar einfach: Du willst generell kein infiziertes Gerät in deinem Netzwerk haben, egal ob das ein ganzer Server, ein Drucker oder nur eine Kaffeemaschine ist.

 

[marques]

Haben Drucker nicht auch interne Sicherheitsvorkehrungen? Ich meine Firmware-Updates gibt’s auch viele für die Dinger?

Und am meisten interessiert mich ja ob man im Nachhinein eine Infizierung des Netzwerkes halt feststellen kann? Routine scans etc?

 

[Liesel Weppen]

Haben Drucker nicht auch interne Sicherheitsvorkehrungen? Ich meine Firmware-Updates gibt’s auch viele für die Dinger?

Warum sollen Drucker "interne" Sicherheitsvorkehrungen haben?
Was genau sollen diese Sicherheitsvorkehrungen sein?

Ja, Firmewareupdates schließen unter anderem bekannte Sicherheitslücken. Sie verhindern aber nicht, das immernoch vorhandene, neu gefundene Sicherheitslücken trotzdem ausgenutzt werden. Und sie schützen auch nicht bei schon infizierten Geräten.

 

[marques]

Ok. Das sicherste wäre dann also das infizierte Gerät auszutauschen? Rausfinden ob es überhaupt infiziert ist? Ist sowas möglich?

 

[Liesel Weppen]

Ok. Das sicherste wäre dann also das infizierte Gerät auszutauschen?

Naja, zumindest erstmal aus dem Netzwerk entfernen, also gänzlich offline nehmen.

Rausfinden ob es überhaupt infiziert ist? Ist sowas möglich?

Da kann ich dir leider nicht helfen. Rausfinden kann man das bestimmt. Aber das ist wohl mit enormem Aufwand verbunden und man muss wissen was man tut, bzw. wonach man überhaupt suchen sollte. Vorallem weil die Software meist proprietär ist und ausser dem Hersteller niemand weiß, was die tut oder kann.
Rausfinden zu wollen, ob da irgendwas ist, ist sogesehen in den meisten Fällen wohl als "Reverse Engineering" zu bezeichnen.

Ich würde sowas als "unwahrscheinlich" einstufen, aber ausschließen kann man es natürlich trotzdem nicht.

 

[marques]

Ja 100% gibt es ja nie. Es sind halt viele „wenn“ vorhanden.

Schon interessant auf was für Themen und Fragen man kommt wenn man über gebrauchte Drucker spricht