Via Drucker ins Netz: PDF-Trojaner verwandelt IP-Telefone in Wanzen

Es klingt wie die wüste Phantasie eines Drehbuchautors, gemixt aus ein paar dokumentierten Schwachstellen in einem HP-Netzwerkdrucker, Cisco-Routern und VoIP-Telefonen von Avaya: Im Rahmen der RSA Conference zeigte Ang Cui von Redballoon Security, wie sich ein Angreifer Schritt für Schritt in ein Unternehmensnetzwerk vorarbeitet – ohne dabei einen einzigen PC oder Server zu hacken.

Der Einstieg erfolgt durch die Infektion eines Netzwerkdruckers von HP (Laserjet 2055). Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per E-Mail an Mitarbeiter im auszuspähenden Unternehmen. Im Fall der Demo war es ein Lebenslauf, der an Mitarbeiter der Personalabteilung gerichtet war. Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit gut zwei Jahren bekannt. Laut Ang Cui würden aber in den wenigsten Unternehmen Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte fänden.

Einstieg über den Drucker

Ist die Malware aktiv, baut sie einen Tunnel zu einem Command&Control-Server auf und erwartet von dort weitere Kommandos. Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer im nächsten Schritt das interne Netzwerk scannen.

Im Fall der Demo fand er unter anderem VoIP-Telefone von Avaya (One X 96x1-Serie) im lokalen Netz. In deren Firmware entdeckte Ang Cui zwei Schwachstellen, die Avaya rechtzeitig vor der öffentlichen Präsentation durch ein Update schloss. Details zu den Lücken wollte der Forscher nicht preisgeben, da sie beide sehr leicht ausnutzbar seien: Der Exploit-Code für eine der Lücken passe auf einen Post-it-Zettel, so Cui. Er wolle keine Nachahmer anlocken.

Durch den Missbrauch der Lücken kann vom Drucker aus eine modifizierte Firmware auf den Telefonen installiert werden. Diese Firmware erlaubt wiederum die Fernsteuerung der Telefone von außen – nach wie vor über den Drucker als Mittler. Auf diesem Weg lässt sich dann beispielsweise das Mikrophon des Telefons aktivieren, ohne dass dabei die entsprechende LED leuchtet. Um das Mitschneiden von Telefonaten oder Gesprächen im Raum zu erleichtern, nutzt Cui einen Trick: Die modifizierte Firmware bringt Software vom Umwandeln von Sprache in Text mit.

Modifiziertes Telefon

Offenbar ist die Hardware des VoIP-Telefons leistungsfähig genug, um Text-to-Speech beinahe in Echtzeit abzuwickeln. Auf diese Art muss der Angreifer die Gesprächsinhalte nicht durch einen bandbreiteintensiven und in Firewall-Logs leicht zu erkennenden RTP-Stream nach außen befördern. Stattdessen verschickt das Gerät auf Kommando nur eine wenige Kilobyte große Textdatei.

Um jeglichen ausgehenden Netzwerkverkehr zu vermeiden und dennoch an die Aufzeichnungen zu kommen, können die Forscher die Telefone durch das Firmware-Update auch in Funksender verwandeln. Dieses "Funtenna" genannte Konzept präsentierte Cui bereits Ende 2012 auf dem 29C3 in Hamburg. Bis zu 30 Meter betrage die Funkreichweite, eine entsprechend leistungsfähige Antenne auf Seiten des Empfängers vorausgesetzt.

(ju)