Der IT-Sicherheitsexperte Aaron Weaver hat herausgefunden, wie sich Netzwerkdrucker in Spam-Schleudern verwandeln lassen.

In einem Beitrag namens »Cross Site Printing« auf net-security.org beschreibt Aaron Weaver, wie sich von einer Web-Seite aus Print-Jobs auf Druckern starten lassen, die einem Firmennetz angesiedelt sind. Der komplette Aufsatz steht als PDF zum Herunterladen bereit.

Es ist laut Weaver sogar möglich, Postscript-Kommandos zu übermitteln oder ein Multifunktionsgerät dazu zu bewegen, Faxe zu versenden.

Aaron Weaver ist als Sicherheitsexperte bei der kleinen US-Bank Sovereign Bancorp tätig, die vor allem im Nordosten der USA tätig ist.

Zugang über Port 9100

Das Einfallstor ist der Port 9100, den viele Netzwerkdrucker für RAW-Printing oder Direct-IP-Druckaufträge nutzen. Laut Weaver kann ein Angreifer mittels Telnet diesen Printer-Port ansprechen und auf diese Weise Text eingeben.

Sobald die Telnet-Verbindung zum Drucker unterbrochen wird, druckt dieser die eingegebenen Informationen aus. Statt einfacher ASCII-Ausgaben lassen sich auch ansehnlichere Ausdrucke erzeugen, indem der Hacker Postscript-Kommandos an den Netzwerkdrucker übermittelt.

Angriffe über präparierte Web-Seiten

Um eine bestimmte Web-Seite auf einem System »fernzudrucken«, ist eine Javascript-Datei erforderlich. Diese sorgt dafür, dass eine HTML-Seite zunächst in ein Postscript-Format konvertiert wird. Anschließend folgt ein Befehl zum »Remote Printing« auf dem Zieldrucker.

Weaver zufolge lassen sich solche Attacken mithilfe präparierter Web-Seiten starten, auf die Internet-User gelotst werden. Auf diesen Seiten wird ein iFrame versteckt. Außerdem könnten sich Angreifer Cross-Site-Scripting-Fehler auf unverdächtigen Web-Seiten zunutze machen.

Um die IP-Adresse eines Druckers in einem Unternehmensnetz herauszufinden, wird ein Port-Scan durchgeführt. Einen Hinweis gibt die IP-Adresse des Systems, von dem aus ein User auf die präparierte Web-Seite zugreift. In der Regel befinden sich Netzwerkdrucker im selben IP-Subnetz wie der Rechner des Besuchers.

Schutzmaßnahmen

Um sich gegen Spam via Drucker zu schützen, schlägt Aaron Weaver folgende Maßnahmen vor: Netzwerkverwalter sollten zum einem den Zugriff auf LAN-Drucker mithilfe eines Passworts absichern.

Zusätzlich sollte der Zugang zu Netzwerk-Printern beschränkt werden. Die Systeme könnten beispielsweise so konfiguriert werden, dass sie nur Druck-Jobs von einem zentralen Print-Server akzeptieren.

Die Tests von Weaver haben mittlerweile auch die Programmierer von Web-Browsern aufgeschreckt. In »Firefox« werde man nötigenfalls den Port 9100 sperren, sagte ein Sprecher der Mozilla-Stiftung.

Zwar blockiere Firefox bereits etliche Ports automatisch, die als Einfalltor für Angreifer dienen könnten. Viele seien jedoch immer noch offen, unter anderem deshalb, weil sie von Web-Entwicklern für Tests benutzt würden.

Bislang sind noch keine Print-Spam-Angriffe bekannt geworden. Doch es sei nur eine Frage der Zeit, bis Spam-Versender auch diesen Kanal nutzen würden, so Weaver.