Faxploit: Netzwerkangriffe durch Schwachstellen in Faxprotokoll möglich
Check Point konnte durch die Ausnutzung von mehreren Schwachstellen in Faxgeräten Malware-Angriffe starten
[datensicherheit.de, 13.08.2018] Dem Research-Team von Check Point® Software Technologies Ltd. ist es durch die Ausnutzung von mehreren Schwachstellen in Faxgeräten gelungen, Malware-Angriffe zu starten. Betroffen sind über 10 Millionen Faxgeräte weltweit.
Multifunktionsgeräte mit integrierter Faxfunktion
In den Beispielen nutzen die Forscher Multifunktionsgeräte mit integriertem Fax wie den HP OfficeJet Pro 6830 oder dem HP OfficeJet Pro 8720. Dabei waren die Geräte nur der Eintrittspunkt für Angriffe mit Schadsoftware. Nach Übernahme des Faxes konnten weitere Attacken auf vernetzte Systeme gestartet werden.
Check Point arbeitet mit mehreren Herstellern an einer Lösung, HP hat beispielsweise schon ein Update unter bereitgestellt. Weltweit gibt es über 45 Millionen Faxgeräte und gerade in Deutschland haben viele Unternehmen noch einen Anschluss. Jährlich werden global mehr als 17 Milliarden Faxe versendet.
Yaniv Balmas, Group Manager Malware Research bei Check Point
Fast die Hälfte aller in Europa verkauften Laser-Drucker sind Multifunktionsgeräte mit integrierter Faxfunktion. „Viele Organisationen sind sich nicht bewusst, dass sie Faxgeräte im Netzwerk haben. Dabei sind diese häufig in Multifunktionsgeräten integriert“, sagt Yaniv Balmas, Group Manager Malware Research bei Check Point. „Unsere Untersuchungen zeigen, wie Angreifer diesen vergessenen Angriffsvektor nutzen, um ganze Netzwerke zu übernehmen. Unternehmen müssen sich schützen. Dabei sollten sie unbedingt die neuesten Patches installieren und ihre Netzwerke segmentieren.“
Attacken mit Ransomware, Kryptominern oder Spyware möglich
Im Detail handelte es sich um gleich mehrere Exploits, bei denen Schadcode über ein manipuliertes Bild in den Speicher des Faxes geladen wird. Von dort kann sich die Malware dann an alle verbunden Geräte verteilen. Mögliche Szenarien sind Attacken mit Ransomware, Kryptominern oder Spyware.
Check Point hat die einzelnen Schritte der Exploit-Chain in einem Bericht dokumentiert. Erster Ansatzpunkt sind die Group 3 (G3) Faxprotokolle nach dem ITU T.30 Standard. Diese werden beispielsweise auch von Onlinefaxservices wie fax2email genutzt und machen diese ebenfalls potenziell angreifbar. Durch Reverse-Engineering der Firmware, Debugging von Prozessen und Anpassung von Schadsoftware demonstrieren die Forscher verschiedene Angriffsmöglichkeiten. Theoretisch ist das Einfallstor nicht auf Devices von HP limitiert, sondern kann auch auf Geräte anderer Anbieter angewendet werden.
Check Point rät Unternehmen, die Firmware ihrer Faxgeräte auf Updates zu prüfen und diese zu installieren, falls sie verfügbar sind. Außerdem macht es Sinn, das Fax in einem eigenen Netzwerksegment unterzubringen – ohne Zugriff auf wichtige Informationen und Server mit kritischen Daten.
Die Sicherheitslücken wurden von den Check Point-Forschern Yaniv Balmas und Eyal Itkin auf der DEF CON 26, der führenden Tagung für Sicherheit und Hacking, präsentiert.
Weitere Informationen zum Thema:
Check Points Blog
Faxploit: Breaking the Unthinkable
datensicherheit.de, 18.08.2018
WhatsApp-Schwachstelle: FakesApp ermöglicht Manipulation von Textnachrichten
datensicherheit.de, 18.08.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren
datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware
Tools, Werkzeuge, Simulation Netzwerkangriffe IDS Intrusion Detection System
In diesem Abschnitt werden die eingesetzten Tools, Werkzeuge und Hilfsmittel zum Testen der Intrusion Detection Systeme, hinsichtlich ihres Einsatzzweckes beschrieben.
Winpcap
WinPcap ist eine Architektur, mit der man auf Win32-Plattformen, Pakete von Netzwerkadaptern lesen oder auf Netzwerkadapter schreiben kann. Enthalten ist ein Paketfilter auf Kernel-Ebene sowie die Möglichkeit, Daten zu puffern. Mit Hilfe von WinPCap ist es also möglich, rohe Netzwerkdaten zu empfangen oder zu senden.
Windump
Windump ist eine Windowsportierung des aus der UNIX Welt bekannte Programms tcpdump. Mit Hilfe von Windump können die Netzwerkdatenpakete dargestellt und ausgewertet werden.
NmapNT
NmapNT ist ebenfalls eine Portierung des UNIX-Portscanners Nmap. Mit NmapNT können die unterschiedlichsten Scans durchgeführt werden. Zum Beispiel der Null scan, Stealth scan, Xmas scan. NmapNT unterstützt auch das Fingerprinting, um Informationen über Rechnersysteme zu sammeln.
ISS-Internet Scanner (mittlerweile IBM)
Der Internet Scanner von Internet Security Systems bietet vorkonfigurierte Angriffe zum Testen einer Netzwerkumgebung. Dieser Scanner lässt kaum Wünsche offen, ist aber ein kommerzielles Produkt, das nicht günstig ist.
Hping2
Der Portscanner Hping2 ist nur für Betriebssysteme unter UNIX und dessen Derivate verfügbar. Hping2 ist einer der besten Portscanner und dazu noch fei erhältlich. Man kann jeden einzelnen Bestandteil von UDP und TCP-Headern definieren, sowie einen beliebigen Payload hinzufügen.
Weitere Angriffswerkzeuge
Sie finden hier zwei übliche Angriffswerkzeuge, welche zur Penetrierung von Netzwerken genutzt werden.
UDP-Flooder 2.0
Ein einfaches kleines Programm, das UDP-Pakete an eine einstellbare IP-Adresse und an einen einstellbaren Port sendet.
Brutus-aet2
Ein umfangreicher Passwortcracker, der mit Benutzerlisten und Passwortlisten arbeitet. Verschiedene Protokolltypen können festgelegt werden.
Penetrationstest – Schutz vor Netzwerkangriffen
Penetrationstest – effektiver Schutz vor Netzwerkangriffen
In den Zeiten zunehmender Datendigitalisierung wird es besonders für Unternehmen immer wichtiger, ihr Netzwerk vor potenziellen Angreifern zu schützen. Zahlreiche Lösungen für Privatpersonen und Unternehmen gibt es mittlerweile, um wichtige Daten zu schützen. Eine unter ihnen ist der Penetrationstest.
Was ist ein Penetrationstest?
Ein Penetrationstest bezeichnet im Allgemeinen einen weitumgreifenden Sicherheitstest von Computern und Netzwerken. Kernpunkt des Penetrationstest ist es, Methoden und Mittel eines Angreifers (eines „Hackers“) zu nutzen und es auf alle Bestandteile und Anwendungen seines Netzwerk- oder Softwaresystems anzuwenden. Hierbei helfen Werkzeuge, die während des Tests Muster von Angriffen nachzubilden versuchen. Dadurch werden die Sicherheitslücken des Systems gegen speziell solche Hacker-Angriffe aufgedeckt und bieten dem Nutzer des Systems die Möglichkeit, diese zu beheben.
Im Gegensatz zu anderen Lösungen in Sicherheitsfragen wird hierfür ein erfahrener Systemadministrator benötigt, der den Ablauf überwacht und vorbereitet. Dieser wird auch deshalb benötigt, weil das Gefahrenpotenzial von Computer zu Computer verschieden ist und auch von den jeweiligen Servern abhängt und somit das entsprechende Hilfswerkzeug des Tests variiert. So etwas muss von Fachpersonal überprüft und die etwaigen Folgen miteinberechnet werden.
Eine spezielle Art des Penetrationstest ist der Social-Engineering-Penetrationstest. Hierbei liegt der Schwerpunkt der Untersuchung in der Aufdeckung von möglichen Schwachstellen im Unternehmen, die potentielle Hacker-Angriffe von außen zulassen könnten. Es wird also nicht über die Computer und Netzwerke versucht, an geheime Informationen und Daten zu kommen, sondern durch Social Engineering direkt über die Mitarbeiter. Hierbei sollen Schwachstellen aufgedeckt werden und im Nachhinein, zum Beispiel durch Schulungen, behoben werden.
Man kann verschiedene Organisationen beauftragen, bei seinem Netzwerk einen Penetrationstest durchzuführen. Natürlich funktioniert das nur, wenn zwischen dem Unternehmen und der ausführenden Organisation eine Vereinbarung besteht, da der Test unter anderem „illegale“ Ausführungen beinhaltet, um den Vorgang von Hackern nachzuspielen (zum Beispiel das Ausspähen von Daten).
Ziele eines Penetrationstests
Das Hauptziel des Penetrationstests ist die Identifizierung von möglichen Schwachstellen eines Netzwerkes und eines Computers. Werden diese Schwachstellen erkannt, ist das nächste Ziel die Erhöhung der Sicherheit, um Angriffen eines Hackers vorzubeugen. Die Behebung der gefundenen Schwachstellen liegt allerdings in der Hand des Betreibers der getesteten Systeme. Abschluss des Penetrationstests ist die Bestätigung der Sicherheit durch Dritte.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) geht bei einem Penetrationstest von einem fünfstufigen Prozess aus. Jedoch wird jeder Test individuell besprochen und aufgebaut, da die einzelnen Prozessschritte, wie zum Beispiel die Vorbereitungs- oder Informationsbeschaffungsphase, von Unternehmen zu Unternehmen variieren und andere Schwerpunkte gesetzt werden müssen.
Penetrationstest im Vergleich zu anderen IT-Sicherheitslösungen
Ein Nachteil des Penetrationstest ist, dass er nur Momentaufnahmen des Servers oder des Computers ermitteln kann, im Gegensatz zu anderen Softwares für die IT-Security, die im Hintergrund rund um die Uhr laufen. Daher besteht das Risiko, dass nach dem Test andere kritische Schwachstellen oder Lücken auftreten können und so trotzdem ein möglicher Zugang für Hacker besteht.
Da aber Hacker heutzutage zahlreiche Mittel gefunden haben, um sich unautorisiert und illegal in fremde Netzwerke Zugang zu verschaffen, ist der Penetrationstest gerade für große Unternehmen sehr wichtig und effektiv, auch wenn er „nur“ eine Momentaufnahme wiederspiegelt.
Weitere Informationen zum Penetrationstest:
Verwandte Artikel auf netzorange zum Thema Penetrationstest:
