Printerhack via browser kan voor papieren spam zorgen

Een hacker heeft een exploit ontwikkeld waarmee op relatief eenvoudige wijze netwerkprinters zouden kunnen worden misbruikt om bijvoorbeeld van afstand printopdrachten uit te voeren.

Met behulp van een simpel stukje javascript is het mogelijk printers via de browser aan te sturen. De exploit maakt gebruik van het feit dat steeds meer printers een netwerkverbinding hebben en vaak standaard op poort 9100 naar printopdrachten luisteren. Met de gepresenteerde proof-of-concept hack is het mogelijk om met behulp van een webformulier simpele ascii-art naar de printer te sturen.

Een spammer kan een stapje verder gaan door pcl in javascript te gebruiken. Op die manier kunnen postscript-commando's naar een printer worden gestuurd. Zo is het mogelijk ook complexere printjes, waaronder zogenaamde banner-pagina's die bij elke printopdracht afgedrukt worden, naar kwetsbare printers te sturen. Hoewel postscript meer mogelijkheden biedt, kunnen meer printers met de ascii-methode overweg en derhalve aangevallen worden.

Wanneer een spammer de behoefte voelt, kan een stukje html automatisch vertaald worden naar postscript-opdracht. Door een webpagina met de printercode in bijvoorbeeld een iframe rond te sturen, kan de printerspam een bedrijfsnetwerk binnendringen. De netwerkprinter die de spam moet afdrukken kan vervolgens gevonden worden door het interne netwerk 'brute force' af te lopen. Hoewel massale spamaanvallen via de printer niet direct te verwachten zijn, kan toegangsbeperking tot de printer, met wachtwoorden of via netwerkrestricties, het probleem verhelpen.

Reacties (71)

wildhagen

Hackers

10 januari 2008 15:37

Ik denk niet dat dit voor bedrijven zo'n probleem gaat opleveren.

Ten eerste hebben printers waarschijnlijk al geen toegang tot Internet omdat ze achter een firewall zitten.

Ten tweede lijkt me dat iedere zichzelf respecterende beheerder/IT-afdeling wel een password op de printerconfiguratie zet.

Overigens is papieren overlast niet helemaal nieuw, een jaar of 5 terug stuurde het Bugbear-virus zichzelf ook al naar alle netwerkprinters die het kon vinden waardoor er behoorlijk wat overlast ontstond.

cytherea @wildhagen • 10 januari 2008 15:47

Dat ze achter een firewall zitten is niet relevant.
Het is de client (binnen het netwerk) die de printopdrachten verstuurd. Door een javascript op een pagina die gehackt is.

Elke client moet toch printopdrachten kunnen sturen naar de printer, spam of niet, dat kun je er niet uithalen.

wildhagen

Hackers

@cytherea • 10 januari 2008 15:52

Klopt, elke client moet in principe kunnen printen. Maar je kan wel overwegen of je dat via port 9100 moet doen of via bijvoorbeeld LPR of een fabrikant-specifieke poort. Of de poort aanpassen naar iets anders, de meeste printers die bedoeld zijn voor zakelijk gebruik ondersteunen dat tegenwoordig wel volgens mij

alex3305 10 januari 2008 15:41

Thuis is hier een hele makkelijke oplossing voor en dat is zelfs nog beter voor het milieu ook... printer gewoon afzetten.

Kijk dat dit niet gaat in bedrijven is te begrijpen, maar een wachtwoord op een bedrijfsprinter zetten is volgens mij ook geen rocket science, kan de baas meteen bijhouden of je niet iets te veel print

Op scholen is dit een ander verhaal, leerlingen en docenten moeten daar vaak al een code opgeven om te kunnen printen of betalen voor het printen - uit mijn ervaring in ieder geval. Dat betekend dus ook dat je niet gaat betalen voor een pagina waar je niets mee van doen hebt.

Persoonlijk beschouw ik dit wel als grappig maar nog niet echt een echte serieuze bedrieiging. Het kan natuurlijk wel lastig zijn als je printer spool vol wordt gestouwd met zooi, maargoed als de gebruiker dan de printer aanzet (!) dan ziet hij/zij ook dat er rotzooi uitkomt. De meeste mensen zullen de printer hierop uitzetten en de computer opnieuw opstarten of een handig computerneefje/dochter/zoon/etc halen.

Overigens vind ik het wel goed dat dit toch als nieuws wordt bestemepelt, want dan kun je er wel aware op zijn, zeg maar.

kamerplant @alex3305 • 10 januari 2008 22:06

Naja of je hebt een printer die automatisch aan gaat als je een opdracht geeft. Mijn HP printer doet dat... dus uitzetten heeft ook niet altijd zin

Juicie 10 januari 2008 15:54

Het werkt wel. Heb het hier getest binnen een toch heel groot bedrijf die alles toch netjes op orde heeft met tich servers, firewalls en een stuk of 100 netwerk printers. Heb het natuurlijk wel alleen maar naar de lokale printer van de afdeling gestuurd.

Printer komt mooi met een A4'tje text.

Het begint met een hele zooi data:
Welk programma de opdracht heeft gestuurd,
van welke site de opdracht komt,
Language,
Encoding,
Charset,
...........

Daarna volgt het bericht.

leuk_he 10 januari 2008 15:51

Kan javascript zomaar op je lokale netwerk lopen chatten? Op lokale netwerken staat wel vaker spul open ompdat lokaal verkeer vertrouwd wordt.

Wellicht is het beter browsers met javascript dan in een virtuele(virtule mahicne of citrix) en onschadelijke omgvingen op te starten.

Little Penguin @leuk_he • 10 januari 2008 16:42

Kan javascript zomaar op je lokale netwerk lopen chatten

Het is geen chatten, het is eenrichtingsverkeer naar een bepaalde poort - dat deze bedoeld is voor printer-code, dat zal de browse een worst zijn.

Het beste is dat de printer HTTP verkeer herkent en deze dan gaat negeren, het meest praktische en snelst haalbare is dat browsers alle pogingen tot het connecten naar poort 9100 gaan blokkeren...

bramfm @leuk_he • 10 januari 2008 16:15

Gewoon scripting uitzetten:

http://noscript.net (alleen voor firefox)

CoolCow @bramfm • 11 januari 2008 09:45

Ja dat is de perfecte oplossing.
Men ontwikkeld prachtige scripting technologieën om te uiteindelijk uit te schakelen

Vertel er dan ook eens bij hoeveel website's niet zullen werken, ik denk al bv aan AJAX websites, geen enkele werkt nog.
Als je bepaalde dingen uit/in-schakeld is het altijd een mes die langs 2 kanten snijd. En de perfecte oplossing is er ook nog niet.

batavier @bramfm • 11 januari 2008 15:27

Of geen browser gebruiken en nooit op internet gaan!

InsanelyHack 10 januari 2008 15:06

Das toch niks nieuw. Standaard staat via de jetdirect poort ook SNMP open. Via snmp - set tooltje zou je dus oneindig veel testpagina's kunnen laten afdrukken. Dus zo spannend is die exploit niet.

Pietervs @InsanelyHack • 10 januari 2008 15:17

Via snmp - set tooltje zou je dus oneindig veel testpagina's kunnen laten afdrukken. Dus zo spannend is die exploit niet.
Het gaat niet om testpagina's, maar om spam, oftewel ongewenste reclame. Ik denk dat je vreemd op zal kijken als je 's morgens op kantoor komt om op alle printers pagina's te vinden met blote dames, viagra-aanbiedingen, diploma's en zo nog wat...

TD-er

@Pietervs • 10 januari 2008 21:22

Ik denk dat je vreemd op zal kijken als je 's morgens op kantoor komt om op alle printers pagina's te vinden

Als ik het goed hebt begrepen moet je eerst met een browser of mailclient de bewuste code uitvoeren, dus kun je dat nooit 's ochtends in de printer terugvinden. Tenzij je favoriete website ineens gehacked is en op standaard refresh staat en je PC aan laat staan 's nachts.

Kwastie @TD-er • 10 januari 2008 21:29

of er zit adware op een pc, die toevallig ook aan staat

Xyzar_ @Pietervs • 10 januari 2008 15:58

mwoh ergens denk ik eigenlijk dat ik angenaam verrast zou zijn als ik een stapel blote damens aan zou treffen, hehe

ja, hilarisch.
moet je je printer maar niet zomaar open laten staan

(herinner me nog een studiejaar bij Fontys, toen we boeken en dictaten van 200+ pagina's moesten printen en alle beveiligingen uit stonden.. heh, helpdesk was niet blij toen ze na een paar dagen door hun voorraad papier heen waren

)

Verwijderd @Xyzar_ • 10 januari 2008 16:02

Ongeveer gelijk bij ons op school, infrarood poort van de printer doet het best

jvo @Xyzar_ • 10 januari 2008 20:00

Op de TU Delft ook gedaan, maar dan op ambachtelijke wijze. Adminwachtwoord achterhalen uit een memory dump, nieuwe student met admin rechten maken en printquota uitvinken. (Kon je meteen die irritante headerpagina's personaliseren

)

YopY @Xyzar_ • 10 januari 2008 16:20

Zelfde bij ons, waar je de netwerkprinter met je eigen laptoppie kunt verbinden om zo om het betaalsysteem van school heen komen kunt.

Verwijderd @YopY • 10 januari 2008 19:20

Bij ons kon je lange tijd op de computers van de derectie!

Verwijderd 10 januari 2008 15:21

Gelukkig heb ik een all-in-one, kan ik die spam meteen scannen.
Heb ik alleen nog een versnipper-extensie nodig.

Verwijderd 10 januari 2008 20:30

Apart dat dit in 2008 boven water komt en niet in laten we zeggen 1995. Helemaal onschuldig is het bepaald niet. Je kunt immers iedere machine op een intranet bestoken met een tamelijk willekeurige stroom bytes. Printers, routers, computers. Het leuke van een intranet is dat de snelheid er nogal hoog ligt en dat allerlei beveiligingsmaatregelen niet van toepassing zijn op deze veilig geachte zone. Asynchrone Ajax connecties maken het in potentie mogelijk om resultaten terug te sturen naar buiten - zonder dat de gebruiker er iets van merkt. Hoe vaak komt het niet voor dat een site - bijvoorbeeld tweakers - onder een tabblad in een browser een dag open staat? Een brute force attack is dan niet meer kansloos te noemen.

Webpagina's zijn applicaties geworden. Zelfstandige applicaties die weliswaar opereren binnen de context van een webbrowser. De oplossing is In de Unix wereld gemakkelijk te vinden. Webapplicaties zouden als aparte processen moeten draaien, apart van de context van de webbrowser met passende rechten. Dit implementeren in de huidige webbrowsers is waarschijnlijk nog niet zo simpel. Nog afgezien van het feit dat Windows weinig kaas gegeten heeft van een rechten systeem op proces/ applicatieniveau.

De wijze les op ieder intranet is intranet niet anders te behandelen dan Internet. Dus natuurlijk moeten die printers beveiligd zijn.

Verwijderd 10 januari 2008 15:08

En een externe hacker moet wel eerst ín het LAN komen voordat'ie dit kan...
en interne spammers kun je zo opsnorren lijkt me zo!

Verwijderd @Verwijderd • 10 januari 2008 15:15

Dat is dus niet zo.
Als je iets in elkaar fixt in bv Javascript, wordt dit client side uitgevoerd. Alleen wordt het gissen naar het IP van een printer.. Maar goed je kan het bv ook naar de locale ip reeks sturen.

rob_erwt @Verwijderd • 10 januari 2008 15:18

Dat is niet helemaal waar. Als je op een internetpagina op een 'print dit' knopje klikt, rolt het toch echt uit je eigen printer, ook al staat de bron op een server aan de andere kant van de wereld.

Enige verschil met deze hack, is dat er gezocht wordt naar alle printers op het netwerk die open staan ipv alleen de door jou geselecteerde printer. Op kantoren van grote brdrijven, waar elke afdeling zijn eigen, gedeelde, printer heeft, kan je in 1x een x aantal spam berichten naar buiten laten rollen.

Moet er nog steeds een actie plaatsvinden door de gebuiker natuurlijk, maar de ervaring leert ons dat dat niet zo'n heel groot probleem is...

ATS @rob_erwt • 10 januari 2008 17:58

Nee, het "aardige" van deze hack is dus dat er geen gebruikersinterventie nodig is. Javascript "praat" direct met de printer. En je collega's zich maar afvragen waarom jij viagra advertenties uit zit te printen...

rob_erwt @ATS • 14 januari 2008 10:55

Nou ja, met 'actie van de gebruiker' bedoelde ik ook meer het lokken van die gebruiker naar een website. Natuurlijk is het daarna automatisch dankzij de Javascript.

_JGC_ @Verwijderd • 10 januari 2008 15:20

Gewoon iemand naar een website lokken, de javascript doet de rest.

LeVortex 10 januari 2008 15:18

hmm je printer moet wel aan staan hiervoor natuurlijk, en het is geen script die gelijk gaat printen als je je printer aan staat. meeste mensen zijn hier dus wel veilig voor denk ik.. alleen bedrijven, die vaak een paar centrale printers hebben gaan hier echt last van krijgen (als deze hack veel toegepast gaat worden)

Facer @LeVortex • 10 januari 2008 16:06

Mijn HP deskjet 940c is aangesloten via USB op de computer. Zodra de computer wilt printen zet de printer zichzelf aan. Dus een thuis gebruik is niet veilig zolang deze optie beschikbaar is op de printer van de gebruiker.

Verwijderd @Facer • 10 januari 2008 16:37

maar het gaat over netwerkprinters. Je printer op usb is dus veilig.

TD-er

@Verwijderd • 10 januari 2008 21:29

Je printer op usb is dus veilig.

Het is ook mogelijk om vanuit je browser zonder popup te printen, dus zo veilig is het ook weer niet.
"Helaas" voor die spammerts is dat niet zomaar met elke browser mogelijk en is vraagt dat voor zover ik weet nog wel een paar randvoorwaarden.

HarryL 10 januari 2008 15:09

Gôh, beetje verbaast, had niet verwacht dat dit ook zo "makkelijk" kan.
Wel grappig trouwens

Ben je eindelijk van je spam in je mailbox af, kotst je printer allemaal spam uit...

YopY @HarryL • 10 januari 2008 16:21

Gelukkig is een printer makkelijker uit te zetten dan je mailbox.

Op dit item kan niet meer gereageerd worden.

Printerhack via browser kan voor papieren spam zorgen

Lees meer

Reacties (71)

Sorteer op:

Weergave: