Niewiele osób rozumie podsystem wydruku Windowsa. Ot zwykle klikamy dalej, dalej, i czasem drukuje, a czasem nie. Wnikliwi badacze z firmy Vectra Networks odkryli jednak w tym bardzo ciekawy błąd, który od 20 lat pozwalał instalować na komputerach z Windowsami złośliwe oprogramowanie. Wektor ataku? Złośliwa drukarka, albo też dowolne urządzenie, które drukarkę udaje. Problem jest w tym, że w imię wygody użytkowników, po połączeniu nie zachodziły żadne procedury uwierzytelnienia. Komu by się chciało wpisywać hasło administratora przy łączeniu się z drukarką w sieci lokalnej?
Na swoim blogu badacze opisali podatność tkwiącą w usłudze Windows Print Spooler, która zarządza procesem łączenia z drukarkami i drukowania dokumentów. Microsoft wymyślił sobie protokół, który sprawiał, że przy pierwszym połączeniu z drukarką sieciową w ramach tej usługi automatycznie pobierane są sterowniki – przechowywane albo na drukarce, albo na serwerze wydruku.
Nic jednak nie stało na przeszkodzie w tym, by pobrany sterownik został wcześniej odpowiednio uzłośliwiony, niczym się jednak dla Windowsa od normalnego nie odróżniając. W ten sposób każde podłączone do sieci lokalnej urządzenie, które było drukarką lub zachowywało się jak drukarka, mogło równie dobrze być gotowym exploit kitem, zdolnym do stałego zarażania komputerów, Windows bowiem uzłośliwione sterowniki instaluje automatycznie. W końcu kiedy ostatnio ktoś uruchamiał skanery antywirusowe na drukarce?
Gunter Ollman z Vectra Networks tłumaczy: problem w tym, że sterownik nie musi być sterownikiem, może to być dowolny kod wykonywalny: ta podatność pozwala wykorzystać drukarkę z fałszywym sterownikiem lub złośliwym plikiem wykonywalnym do automatycznego zainstalowania i wykonania na dowolnym Windowsie w sieci, który akurat szuka drukarki lub chce drukować.
Ten sam problem dotyczy też wirtualnych drukarek, tak więc wektorem ataku może stać się dowolna sieć hostująca obraz wirtualnej drukarki, a nawet mechanizm pozwalający na druk przez Internet (IPP/webPointNPrint) – wówczas to exploit osadzony zostaje w serwerze webowym i wykonany poprzez Internet Explorera, zmuszając zaatakowaną maszynę do instalowania złośliwego sterownika.
Póki co nie zaobserwowano takich ataków, ale to nie znaczy, że ich nigdy nie było, szczególnie że potencjał mają spory – Microsoft, zdaniem badaczy, nigdy nie interesował się dotąd bezpieczeństwem druku. Słynny ekspert HD Moore przedstawił scenariusz, w którym wykorzystuje się laptopa czy inne przenośne urządzenie, udające że jest drukarką – i które po włączeniu do sieci lokalnej dostarcza wszystkim uzłośliwionych sterowników. Innych sposób to monitorowanie ruchu do prawdziwej drukarki, zaczekanie aż ofiara doda ją do swojego systemu, a wówczas wykorzystanie ataków sieciowych do przejęcia ruchu i wstrzyknięcia złośliwego sterownika.
Luki wykorzystane do tego ataku zostały załatane w ostatnim cyklu aktualizacji Windowsa, w ramach biuletynu bezpieczeństwa MS16-087, oznaczonego przez Microsoft jako „krytyczny”. Nie cieszcie się jednak za bardzo, Microsoft wcale luki nie załatał. Po prostu dodał do procesu instalacji okno dialogowe z ostrzeżeniem. HD Moore zauważył, że biorąc pod uwagę to, jak użytkownicy zachowują się wobec okienek dialogowych z ostrzeżeniami, to raczej nie sądzi, by było to skuteczne.
Spodziewajmy się więc szybkiego skomercjalizowania ataków na podsystem wydruku Windowsa – ludzie przecież lubią szybko klikać, a nie lubią czytać systemowych komunikatów.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
