Hacker können dein Netzwerk nur durch das Senden eines Fax beeinträchtigen

Was kann ein entfernter Angreifer maximal tun, wenn er nur seine Faxnummer hat?

Glaube es oder nicht, aber deine Faxnummer ist buchstäblich genug für einen Hacker, um die vollständige Kontrolle über den Drucker zu erlangen und möglicherweise den Rest des mit ihm verbundenen Netzwerks zu infiltrieren.

Kontrollpunkt Forscher haben Details über zwei kritische Schwachstellen bei der Remote Code Execution (RCE) aufgedeckt, die sie in den Kommunikationsprotokollen von zig Millionen von Faxgeräten weltweit entdeckt haben.

Du denkst vielleicht darüber nach, wer heutzutage Fax benutzt!

Nun, Fax gehört nicht der Vergangenheit an. Mit mehr als 300 Millionen Fax Nummern und 45 Millionen Faxgeräten, die weltweit im Einsatz sind, ist Fax immer noch beliebt bei  verschiedenen Unternehmen, Behörden, Anwälten, Banken und  Immobilienunternehmen.

Da die meisten Faxgeräte heute in Allzweck-Druckern integriert sind, die an ein WiFi Netzwerk und eine PSTN Telefonleitung angeschlossen sind, kann ein entfernter Angreifer einfach eine speziell angefertigte Bilddatei per Fax senden, um die gemeldeten Schwachstellen auszunutzen und die Kontrolle über ein Unternehmens- oder Heimnetzwerk zu übernehmen.

Alles, was der Angreifer tun muss diese Schwachstellen ausnutzen, ist eine Faxnummer, die leicht zu finden ist, indem man einfach eine Internetseite des Unternehmens durchsucht oder sie direkt anfordert.

Betitelt Faxploit, beinhaltet der Angriff zwei Puffer Überlauf Schwachstellen – einer löst sich beim Parsen von COM Markern (CVE-2018-5925) aus und ein weiteres stapelbasiertes Problem beim Parsen von DHT Markern (CVE-2018-5924), das zur Remote Code Ausführung führt.

Um den Angriff zu demonstrieren, verwendeten Kontrollpunkt Malware Forschungsteam Führer Yaniv Balmas und der Sicherheitsforscher Eyal Itkin den beliebten HP Officejet Pro Allzweck- Fax Drucker – den HP Officejet Pro 6830 Allzweck Drucker und den OfficeJet Pro 8720.

Wie im obigen Video zu sehen ist, senden die Forscher eine Bilddatei mit bösartiger Nutzlast über die Telefonleitung, und sobald das Faxgerät sie empfängt, wird das Bild dekodiert und in den Speicher des Faxdruckers geladen.

In ihrem Fall nutzten die Forscher die von der NSA entwickelten Exploits EternalBlue und Double Pulsar, die von der Shadow Brokers Gruppe durchgesickert waren und im vergangenen Jahr hinter dem weltweiten Aufschrei von WannaCry Ransomware standen, um die angeschlossene Maschine zu übernehmen und den bösartigen Code weiter über das Netzwerk zu verbreiten.

„Mit nichts als einer Telefonleitung konnten wir ein Fax senden, das die volle Kontrolle über den Drucker übernehmen und später unsere Nutzlast innerhalb des für den Drucker zugänglichen Computernetzes verteilen konnte“, sagte der Forscher in einem heute veröffentlichten ausführlichen Blog Beitrag.

„Wir glauben, dass dieses Sicherheitsrisiko von der Community besonders beachtet werden sollte, da es die Art und Weise verändert, wie moderne Netzwerkarchitekturen mit Netzwerkdruckern und Faxgeräten umgehen“.

Nach den Kontrollpunkt Forschern können Angreifer die Bilddatei mit Malware einschließlich Lösegeld, Crypto Währung Miner oder Überwachungstools codieren, je nach ihren Interessen und Motiven.

Check Point Forscher gaben ihre Ergebnisse verantwortungsbewusst an Hewlett Packard weiter, das die Fehler in seinen Allzweck-Druckern schnell behebt und daraufhin Firmware Patches bereitstellt. Ein Patch ist auf der HP Support Seite verfügbar. Jedoch glauben die Forscher, dass die gleichen Schwachstellen auch die meisten Fax basierten Allzweck-Drucker anderer Hersteller und andere Fax Implementierungen wie Fax zu Mail Dienste, eigenständige Faxgeräte und mehr beeinträchtigen könnten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.