Złośliwe drukarki od 20 lat mogły bezkarnie atakować Windowsa
Niewiele osób rozumie podsystem wydruku Windowsa. Ot zwykleklikamy dalej, dalej, i czasem drukuje, a czasem nie. Wnikliwibadacze z firmy Vectra Networks odkryli jednak w tym bardzo ciekawybłąd, który od 20 lat pozwalał instalować na komputerach zWindowsami złośliwe oprogramowanie. Wektor ataku? Złośliwadrukarka, albo też dowolne urządzenie, które drukarkę udaje.Problem jest w tym, że w imię wygody użytkowników, po połączeniunie zachodziły żadne procedury uwierzytelnienia. Komu by sięchciało wpisywać hasło administratora przy łączeniu się zdrukarką w sieci lokalnej?
Na swoim blogu badacze opisalipodatność tkwiącą w usłudze Windows Print Spooler, którazarządza procesem łączenia z drukarkami i drukowania dokumentów.Microsoft wymyślił sobie protokół, który sprawiał, że przypierwszym połączeniu z drukarką sieciową w ramach tej usługiautomatycznie pobierane są sterowniki – przechowywane albo nadrukarce, albo na serwerze wydruku.
Nic jednak nie stało na przeszkodzie w tym, by pobrany sterownikzostał wcześniej odpowiednio uzłośliwiony, niczym się jednak dlaWindowsa od normalnego nie odróżniając. W ten sposób każdepodłączone do sieci lokalnej urządzenie, które było drukarkąlub zachowywało się jak drukarka, mogło równie dobrze byćgotowym exploit kitem, zdolnym do stałego zarażania komputerów,Windows bowiem uzłośliwione sterowniki instaluje automatycznie. Wkońcu kiedy ostatnio ktoś uruchamiał skanery antywirusowe nadrukarce?
Gunter Ollman z Vectra Networks tłumaczy: problem w tym, żesterownik nie musi być sterownikiem, może to być dowolny kodwykonywalny: ta podatność pozwala wykorzystać drukarkę zfałszywym sterownikiem lub złośliwym plikiem wykonywalnym doautomatycznego zainstalowania i wykonania na dowolnym Windowsie wsieci, który akurat szuka drukarki lub chce drukować.
Ten sam problem dotyczy teżwirtualnych drukarek, tak więc wektorem ataku może stać siędowolna sieć hostująca obraz wirtualnej drukarki, a nawet mechanizmpozwalający na druk przez Internet (IPP/webPointNPrint) – wówczasto exploit osadzony zostaje w serwerze webowym i wykonany poprzezInternet Explorera, zmuszając zaatakowaną maszynę do instalowaniazłośliwego sterownika.
Póki co nie zaobserwowano takich ataków, ale to nie znaczy, żeich nigdy nie było, szczególnie że potencjał mają spory –Microsoft, zdaniem badaczy, nigdy nie interesował się dotądbezpieczeństwem druku. Słynny ekspert HD Moore przedstawiłscenariusz, w którym wykorzystuje się laptopa czy inne przenośneurządzenie, udające że jest drukarką – i które po włączeniudo sieci lokalnej dostarcza wszystkim uzłośliwionych sterowników.Innych sposób to monitorowanie ruchu do prawdziwej drukarki,zaczekanie aż ofiara doda ją do swojego systemu, a wówczaswykorzystanie ataków sieciowych do przejęcia ruchu i wstrzyknięciazłośliwego sterownika.
Luki wykorzystane do tego ataku zostały załatane w ostatnimcyklu aktualizacji Windowsa, w ramach biuletynu bezpieczeństwaMS16-087,oznaczonego przez Microsoft jako „krytyczny”. Nie cieszcie sięjednak za bardzo, Microsoft wcale luki nie załatał. Po prostu dodałdo procesu instalacji okno dialogowe z ostrzeżeniem. HD Moorezauważył, że biorąc pod uwagę to, jak użytkownicy zachowująsię wobec okienek dialogowych z ostrzeżeniami, to raczej nie sądzi,by było to skuteczne.
Spodziewajmy się więc szybkiego skomercjalizowania ataków napodsystem wydruku Windowsa – ludzie przecież lubią szybko klikać,a nie lubią czytać systemowych komunikatów.