Focus IT-Sicherheit

Wenn der Fax zum Security-Risiko für Firmennetzwerke wird

Uhr
von Sonja Meindl, Country Manager, Check Point

Auch wenn es antiquiert klingen mag: Auch im Jahr 2018 wird noch gefaxt und etliche Multifunktionsdrucker haben auch heute noch eine Faxfunktion. Genau über diese können Cyberkriminelle ins Firmennetz eindringen und Malware-Angriffe starten. Alles, was sie dafür brauchen: eine Faxnummer.

Sonja Meindl, Country Manager, Check Point (Source: zVg)
Sonja Meindl, Country Manager, Check Point (Source: zVg)

Man könnte meinen, Fax sei ein Relikt aus den 90er Jahren. Aber: Jährlich werden global mehr als 17 Milliarden Faxe versendet. Und genau diese ‚veraltete‘ Technologie sollte in der heutigen, modernen IT-Umgebung nicht übersehen werden, insbesondere nicht aus Sicht der Security.

Faxgeräte im Netzwerk

Fast die Hälfte aller in Europa verkauften Laser-Drucker sind Multifunktionsgeräte mit integrierter Faxfunktion. Viele Organisationen sind sich dessen nicht bewusst und haben so ungewollt Faxgeräte in ihren Netzwerken. In solchen Multifunktionsdruckern haben unsere Forscher Sicherheitslücken entdeckt, die Cyberkriminelle für Angriffe ausnutzen können. Dazu brauchen sie lediglich eine einzige Information: die Faxnummer des Unternehmens. Und diese ist meist öffentlich, auf Visitenkarten oder der Website der Organisation.

Stack Overflow

Problematisch ist, dass Fax eine ‚alte‘ Technologie ist, deren Protokolle sich in 30 Jahren nicht geändert haben. Nur waren vor 30 Jahren Faxgeräte noch stand alone und nicht im Netzwerk integriert.

Mithilfe eines manipulierten Fax können Angreifer einen Speicherfehler (‚Stack Overflow‘) auslösen und damit in Firmennetzwerke eindringen: Beim Angriff wird konkret eine manipulierte Bilddatei an die Faxfunktion geschickt. Diese kann die Datei nicht richtig verarbeiten, produziert dann den Speicherüberlauf, mit dem sich wiederum die Hacker zusätzliche Rechte in dem vernetzten Gerät beschaffen. Diese können dann als Ausgangspunkt für weitere Angriffe dienen.

Unsere Forscher haben die einzelnen Schritte der Exploit-Chain in einem Bericht dokumentiert. Erster Ansatzpunkt sind die Group 3 (G3) Faxprotokolle nach dem ITU T.30 Standard. Diese werden beispielsweise auch von Onlinefaxservices wie fax2email genutzt und machen diese ebenfalls potenziell angreifbar. Durch Reverse-Engineering der Firmware, Debugging von Prozessen und Anpassung von Schadsoftware demonstrierten die Forscher verschiedene Angriffsmöglichkeiten.

Attacken auf vernetzte Systeme

In den oben genannten Beispielen nutzen die Forscher Multifunktionsgeräte mit integriertem Fax von HP, aber das Prinzip funktioniert theoretisch mit Devices von allen Herstellern. Und nicht nur mit Multifunktionsdruckern, sondern auch ‚normalen‘ Faxgeräten. Dabei waren die Devices nur Eintrittspunkt für Angriffe mit Schadsoftware. Nach Übernahme des Faxes konnten weitere Attacken auf vernetzte Systeme gestartet werden. Mögliche Szenarien sind Attacken mit Ransomware, Cryptominern oder Spyware.

Netzwerke segmentieren

Angreifer können also diesen "vergessenen" Angriffsvektor nutzen, um ganze Netzwerke zu übernehmen. Darum müssen Unternehmen sich schützen. Sie sollten unbedingt laufend die neuesten Patches installieren und ihre Netzwerke segmentieren. Wir raten allen Organisationen, die Firmware ihrer Faxgeräte auf Updates zu prüfen und diese zu installieren, falls sie verfügbar sind. Ausserdem macht es Sinn, Fax in einem eigenen Netzwerksegment unterzubringen – ohne Zugriff auf wichtige Informationen und Server mit kritischen Daten. Die Netzwerksegmentierung ist eine wichtige Sicherheitsstrategie, die darauf abzielt, solche Lücken zu schliessen.

Mehr Informationen finden Sie in diesem Video.

Webcode
DPF8_118696

Kommentare

« Mehr