Bundesamt für Sicherheit in der Informationstechnik

G 4.64 Komplexität von Druckern, Kopierern und Multifunktionsgeräten

Netzdrucker, Hochleistungskopierer und Multifunktionsgeräte sind mittlerweile komplexe IT-Systeme. Sie bieten nicht nur eine umfangreiche Ausstattung und einen erweiterten Funktionsumfang, sondern können dadurch auch neue Gefährdungen für andere IT-Systeme oder das LAN mit sich bringen.

Lokale Administrationsschnittstellen

Bei einigen Druckern und Multifunktionsgeräten kann der Zugriff auf die Administrationsschnittstelle nicht abgesichert werden, also auch nicht über eine Passwortabfrage vor unbefugtem Zugriff geschützt werden. Mit Administratorrechten könnte ein Angreifer den Drucker manipulieren, beispielsweise so, dass er keine Druckaufträge annimmt oder alle empfangenen Druckaufträge auf einen internen Speicher zur späteren Einsicht schreibt.

Administration über das LAN

Netzdrucker und Multifunktionsgeräte können im Allgemeinen auch über das lokale Netz administriert werden. Wenn hierfür kein Zugriffsschutz möglich ist oder gesetzt wurde, können hierüber Daten im Drucker ausgelesen oder manipuliert werden. Dies ist in manchen Fällen nicht nur von Arbeitsplätzen des lokalen Netzes möglich, sondern auch aus dem Internet. Manche Drucker besitzen sogar eine Java-Engine, die es ermöglicht, beliebige Java-Programme und Java-Applets zur Konfiguration auf dem Drucker zu installieren und auszuführen. Damit eröffnet sich neben der Möglichkeit der Manipulation von Druckereinstellungen und Druckaufträgen ein weites Feld von Angriffen über Drucker auf das lokale Netz.

Integrierte Webserver

Viele Netzdrucker und Hochleistungskopierer haben mittlerweile eingebaute Webserver, die die Administration erleichtern sollen. Komfort wird hier aber auch mit zusätzlichen Risiken erkauft. So sind z. B. Drucker mit integriertem Webserver in der Vergangenheit durch einen Nebeneffekt eines Wurm-Angriffes ("Code Red") zum Absturz gebracht worden, obwohl sie für den eigentlichen Angriff des Wurms gar nicht empfindlich waren. Manche Hersteller bieten keine Möglichkeit an, den Webzugriff auf die Druckeradministration abzusichern und beispielsweise nur auf autorisierte Personen zu beschränken. Häufig wird aber auch die Webschnittstelle bei der Konfiguration vernachlässigt, so dass interne oder sogar externe Personen die Druckerkonfiguration und -nutzung manipulieren können, je nach Einbindung in vorhandene Netze. Beispielsweise könnten von beliebigen Benutzern des Druckers absichtlich oder unbeabsichtigt Druckaufträge anderer gelöscht oder die Verfügbarkeit des Druckers beeinträchtigt werden. Manche Webserver von Druckern liefern außerdem bei Angabe einer überlangen URL Diagnosedaten zurück, auf deren Basis die Entwicklung von Angriffsprogrammen möglich ist.

Unverschlüsselte Kommunikation zur Administration

Als Protokolle für die Konfiguration werden häufig HTTP(S), Telnet oder SNMP (Simple Network Management Protocol) benutzt.

Bei einem Zugriff über HTTP oder Telnet werden die übertragenen Informationen ungeschützt transportiert. In dem Fall könnte ein Angreifer die Kommunikation und somit beispielsweise das Passwort zur Konfiguration mitlesen und dies für eine Vielzahl von Angriffen auf die Vertraulichkeit, Verfügbarkeit und Integrität benutzen, wenn nicht andere Schutzmaßnahmen dagegen getroffen werden.

Neben der Konfiguration durch den Administrator wird oft gewünscht, dass die Benutzer ebenfalls auf den Webserver von Druckern zugreifen können. Beispielsweise könnten damit die Benutzer ihre Druckaufträge stornieren oder überprüfen, ob der Drucker zur Zeit keine anderen Druckaufträge bearbeitet. Allerdings können sie dabei auch sehen, welche Art von Dokumenten andere Mitarbeiter ausdrucken. Meist sind die Dateinamen der gedruckten Dokumente erkennbar, beispielsweise "Bewerbung_Nachbarfirma.doc". Gelingt es einem Angreifer, im Klartext übermittelte Passwörter der anderen Benutzer mitzulesen, könnte er die Druckaufträge der anderen Benutzer stornieren, sie einsehen oder den Ausdruck auf andere Drucker umlenken. Typischerweise wiederholen Benutzer den Druckvorgang so lange, bis an ihrem Lieblingsdrucker der Ausdruck ankommt. So können in sensitiven Bereichen unbemerkt Dokumente in die Hände von Unberechtigten gelangen.

Spezielle Druckserverdienste und Einsatzumgebungen

Verschiedene Hersteller haben auf Netzdruckern eine Adressbuchfunktion für den integrierten E-Mail- oder Faxversand implementiert. Bei Nutzung solcher Funktionen ist es schwierig auszuschließen, dass Daten über den Drucker unberechtigt weitergeleitet werden, z. B. ins Internet.

Viele Drucker lassen sich auch über ftp und mit anonymen Zugriffen über LDAP steuern. Dies kann dann möglicherweise auch von jedem Benutzer im lokalen Netz für Manipulationen am Drucker ausgenutzt werden. Manche Hersteller bieten sogar über das Internet kostenfreie Zusatzsoftware an, mit der ein vergebenes Druckerpasswort für die Konfiguration weitestgehend umgangen werden kann. In den meisten Fällen ist der Zugriff auf die Konfiguration des Druckers nach Auslieferung durch den Hersteller nicht beschränkt. Bei einigen Betriebssystemen können Netzdrucker außer über LDAP über eine Domänenzugehörigkeit konfiguriert werden. Hier besteht die Gefahr, dass Unberechtigte auf LAN-Servern Administrator-Rechte für den Drucker erlangen können.

Für manche Zwecke kann es sinnvoll sein, eine Druckeranbindung per Funknetz oder auch direkt über den Einsatz von Wireless-Printern durchzuführen. Auch für solche Funkübertragungen muss ein angemessener Schutz vor Abhören der Funkstrecken, Verfälschung von Daten, Manipulation der Druckerkonfiguration, Störung der Verbindungen und anderen Sicherheitsproblemen gewährleistet sein.

Software-Fehler

Fehler in der Implementierung von Druckertreibern können auch Auswirkungen auf die Sicherheit des Arbeitsplatzrechners haben. So sind Sicherheitslücken aufgetreten, bei denen aufgrund eines fehlerhaften Druckertreibers einfache Benutzer Administratorrechte erlangen konnten.

Der unter Unix häufig verwendete Druckerdämon lpd ist in verschiedenen Versionen gegen Pufferüberläufe empfindlich. Dadurch sind beispielsweise Denial-of-Service-Angriffe oder der Start von Programmcode mit Root-Rechten von entfernten Rechnern aus möglich. Eine gefährliche Funktionalität in Windows ME war auch die automatische Druckerinstallation aller im Netz freigegebenen Drucker. Hierbei werden vom fremden Drucker bzw. Betriebssystem automatisch Dateien auf den Rechner mit Windows ME übertragen und installiert. Ein Angriff mittels ausgeführter VXD-Dateien auf das Betriebssystem ist so leicht möglich.

Beispiele:

  • Ein Angreifer leitet einen bestimmten Ausdruck an einen Drucker um, den der Benutzer sonst nicht verwendet. Auf diese Weise kann der Angreifer auch Dokumente mit einem höheren Schutzbedarf bezüglich der Vertraulichkeit einsehen. Der Benutzer findet den gewünschten Ausdruck nicht im Drucker und vermutet technische Probleme. Ohne daran zu denken, dass es sich um einen Angriff handeln könnte, erstellt der Benutzer einen neuen Ausdruck, den er auch dem Ausgabefach entnehmen kann.
  • Der Wurm "Bugbear" ist seit Ende September 2002 bekannt. Er verbreitet sich über E-Mail und Netzfreigaben. Ein möglicher Nebeneffekt von "Bugbear" ist, dass an alle freigegebenen Netzdrucker selbstständig Druckaufträge mit unsinnigem Inhalt gesendet und dann eventuell auch gedruckt werden. Als Folge können unter anderem Drucker blockiert oder Verbrauchsmaterial verschwendet werden.

Stand: 9. EL Stand 2007

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK