Hinweis des Herausgebers:
Bei all den Bedrohungen, mit denen sich IT-Unternehmen dieser Tage konfrontiert sehen, ist es ein Leichtes, eine der unscheinbarsten Quellen für Sicherheitslücken zu übersehen: die Druck-Subsysteme. Wir bei LRS wissen, dass die zahlreichen Geschäfte eines jedes Unternehmens von diversen Dokumenten getragen werden. Aus diesem Grund sind Drucker und Druckserver eine attraktive Angriffsfläche für Hackergruppen und Lieferanten von Malware.
Microsoft und die US-amerikanische Sicherheitsagentur für Cybersecurity und Infrastruktur (Cybersecurity and Infrastructure Security Agency, CISA) melden, dass eine russische Hackergruppe namens APT28 sich jetzt ganz aktiv eines Tools mit dem Codenamen GooseEgg bedient, das bekannte Schwachstellen des Microsoft Windows Druckspooler-Service ausnutzt (rückverfolgt als CVE-2022-38028). Über diese Schwachstelle erlangen Hacker auf ungeschützten Computern Zugang auf Systemebene.
Die einfachste Methode zur Vermeidung von Schäden aufgrund dieser oder anderer Angriffe ist, einige der vernünftigen IT-Best Practices zu befolgen, die mein Kollege Guy Tucker vor einigen Jahren im Vorfeld der PrintNightmare-Attacke zusammengestellt hat. Sein Rat, der hier noch einmal in Gänze abgedruckt ist, ist heute noch genauso gültig wie zu dem Zeitpunkt der ursprünglichen Veröffentlichung im Jahr 2021.
Mit jedem Jahr, das vergeht, sehe ich mehr und mehr Fragen über die echte Bedrohung aufgrund häufiger Schwachstellen und Expositionen (common vulnerabilities and exposures, CVE). Täglich lese ich von großen Unternehmen, die durch Ransomware lahmgelegt werden, von Tojanern oder Viren. Einzelpersonen sind besorgt. Konzerne sind besorgt. Krankenhäuser und Regierungen sind besorgt. Und natürlich sind auch Software-Unternehmen besorgt.
Gerade erst in dieser Woche erfuhren wir von einem Exploit namens log 4j-Schwachstelle CVE-2021-44228. Mit diesem Exploit können Hacker durch einen einfachen Log-Mechanismus ihren eigenen Code in einen Prozess hineinschreiben und den Code ferngesteuert laufen lassen. Das ist schon gruselig. Nach der CVE-Beschreibung kann das einfache Schreiben einer Textzeile in einem Log das Türchen öffnen. Software-Produkte müssen aus vielen legitimen Gründen Log-Einträge schreiben, daher ist die Methode dieses Exploits schwer festzustellen und noch komplizierter zu verhindern.
Die gute Nachricht ist, dass LRS-Produkte nicht anfällig für CVE-2021-44228 sind, sodass unsere Kunden einen Grund weniger zur Sorge haben. Glücklicherweise, da es viele andere kritische Systeme gibt, die es zu schützen gilt.
Software-Unternehmen sichern sich ständig vor Malware-Angriffen jeder Art. Die Entwickler bei LRS sind sich sehr genau über die Wege zu Schwachstellen im Klaren und unternehmen unterschiedliche Schritte, um nicht Ziel bösartiger Exploits werden. Zu diesen Maßnahmen gehören:
- Einhaltung der Best Practices der Branche beim Schreiben von Produktcodes wie Anwendung von Verschlüsselung im Ruhezustand und spontane Verschlüsselung für alle Interprozessdaten.
- Nutzung von erstklassiger Software zum Scannen unseres Quellcodes und Vermeidung von Fallstricken.
- Übernahme des sogenannten Systems Security Development and Maturity- Modells von BSIMM
- Kontinuierliche dynamische und statische Scans und Penetrationstests im gesamten Entwicklungsprozess.
- Übernahme von Zero-Trust-Transportmethoden zur Gewährleistung der Sicherheit.
- Vermeidung von Druckspoolermechanismen, die vom Betriebssystem ausgehen, da sie hoch anfällig für Angriffe und Störungen sind (PrintNightmare sowie die vielen vergleichbaren „Freunde“.)
- Die kontinuierliche Überwachung gemeldeter Exploits gewährleistet wirksame Praktiken.
Auch Sie können Schritte unternehmen, um sich selbst, aber auch Ihrem Unternehmen in dieser Hinsicht zu helfen. Viele von diesen werden Sie kennen, aber es schadet nie, auch andere in Ihrer IT- und Benutzer-Community daran zu erinnern. Zur Einhaltung der Best Practices achten Sie darauf:
- niemals einen Anhang zu öffnen, wenn Sie die Quelle/den Absender nicht kennen.
- dass die Patches für Ihr Betriebssystem auf dem neuesten Stand sind.
- dass Ihre LRS- (und nicht-LRS-)Produkte so aktuell sind, wie es Ihnen dienlich ist.
- Ziehen Sie die Einführung von Zero-Trust-Methoden für Ihr Unternehmen in Betracht.
Ein proaktiverer Ansatz wäre, eine Sicherheitsprüfung von Dritten mithilfe einer externen Auftragsfirma vorzunehmen. Ein solcher Sicherheitsanbieter ist LRS IT Solutions, und hier insbesondere das Angebot einer grundlegenden Cyber-Risikoanalyse (Foundational Cyber Risk Analysis). Das Unternehmen bietet an, Schwachstellen zu scannen, Firewall-Konfiguration zu prüfen oder Penetrationstests vorzunehmen und steht somit als vertrauenswürdiger externer Berater bereit.
In einer Zero-Trust-Umgebung kann sich das Drucken als schwierig herausstellen, aber LRS hat die Mittel und die Erfahrung für die Umsetzung. Wenn man über die Alternative nachdenkt, sind diese Bemühungen sicher lohnenswert.