Attacke! Schriftarten gegen Drucker

Wir untersuchen, wie beliebte Canon-Drucker für Angriffe innerhalb eines Unternehmensnetzwerks ausgenutzt werden können.

CVE-2024-12649: Schwachstelle im Canon TTF-Interpreter

Heutzutage können sich Angreifer in der Infrastruktur eines Unternehmens immer seltener über eine Workstation ohne einen EDR-Agenten freuen. Daher konzentrieren sich Cyberkriminelle auf Server oder andere spezialisierte Geräte. Diese sind auch mit dem Netzwerk verbunden und haben relativ weitreichende Zugriffsrechte, dafür fehlen ihnen aber oft ein EDR-Schutz und sogar Protokollierungsfunktionen. Über die verschiedenen Arten von anfälligen Bürogeräten haben wir bereits ausführlich berichtet. Im Jahr 2025 konzentrieren sich echte Angriffe auf Netzwerkgeräte (z. B. VPN-Gateways, Firewalls und Router), Videoüberwachungssysteme und Server. Aber auch Drucker sollten nicht übersehen werden. Daran erinnerte der unabhängige Forscher Peter Geissler beim Security Analyst Summit 2025. Er beschrieb eine Schwachstelle, die er in Canon-Druckern gefunden hatte (CVE-2024-12649, CVSS 9.8) und über die auf diesen Geräten Schadcode ausgeführt werden kann. Das Interessanteste an dieser Schwachstelle ist, dass dabei lediglich eine harmlos wirkende Datei zum Drucken gesendet werden muss.

Trojaner-Schriftart: Angriff über CVE-2024-12649

Der Angriff beginnt damit, dass eine XPS-Datei zum Drucken gesendet wird. Dieses von Microsoft entwickelte Format enthält alle Informationen zum Drucken von Dokumenten und dient als Alternative zu PDF. XPS ist eigentlich ein ZIP-Archiv, das eine detaillierte Beschreibung des Dokuments, aller enthaltenen Bilder und der verwendeten Schriftarten enthält. Die Schriftarten werden normalerweise im beliebten TTF-Format (TrueType Font) gespeichert, das von Apple entwickelt wurde. Wer würde schon etwas Böses hinter einer Schriftart vermuten? Aber genau sie enthält hier den bösartigen Code.

Das TTF-Format wurde entwickelt, um Buchstaben auf jedem Medium identisch aussehen zu lassen und auf beliebige Größe korrekt zu skalieren – vom kleinsten Zeichen auf einem Bildschirm bis zu riesigen Lettern auf einem gedruckten Plakat. Dazu kann jedem Buchstaben eine Hinting-Anweisung zugewiesen werden, die die Feinheiten der Darstellung kleiner Buchstaben beschreibt. Hinting-Anweisungen sind Befehle für eine kompakte virtuelle Maschine, die trotz ihrer Einfachheit alle grundlegenden Elemente der Programmierung unterstützt: Speicherverwaltung, Sprünge und Verzweigungen. Geissler und seine Kollegen untersuchten, wie diese virtuelle Maschine in Canon-Drucker implementiert ist. Sie stellten fest, dass die Ausführung einiger TTF-Hinting-Anweisungen Risiken birgt. Die Befehle der virtuellen Maschine, die den Stack verwalten, prüfen beispielsweise nicht, ob ein Überlauf vorliegt.

Dadurch gelang es ihnen, eine bösartige Schriftart zu erstellen. Wenn ein Dokument, das diese Schriftart enthält, auf bestimmten Canon-Druckern gedruckt wird, kommt es zu einem Stapelpufferüberlauf, Daten werden außerhalb des Puffers der virtuellen Maschine geschrieben und schließlich wird der Code auf dem Prozessor des Druckers ausgeführt. Der gesamte Angriff erfolgt über die TTF-Datei. Der restliche Inhalt der XPS-Datei ist harmlos. Übrigens ist es ziemlich schwierig, den Schadcode in der TTF-Datei zu finden: Er ist nicht sehr lang, der erste Teil besteht aus Anweisungen für virtuelle TTF-Maschinen und der zweite Teil läuft auf dem exotischen, proprietären Canon-Betriebssystem (DryOS).

Zum Hintergrund: Canon hat sich in den letzten Jahren auf die Sicherheit der Drucker-Firmware konzentriert. Für ARM-Prozessoren werden beispielsweise DACR-Register und NX-Flags (no-execute) verwendet, um die Möglichkeit einzuschränken, Systemcode zu modifizieren oder Code in Speicherfragmenten auszuführen, die nur zur Datenspeicherung dienen. Trotz dieser Bemühungen gewährleistet die DryOS-Architektur aber keine effektive Implementierung von Speicherschutzmechanismen wie ASLR oder Stack Canary, die für größere moderne Betriebssysteme typisch sind. Deshalb gelingt es Forschern immer wieder, den bestehenden Schutz zu umgehen. Bei dem hier beschriebenen Angriff wurde beispielsweise der bösartige Code erfolgreich ausgeführt, indem er mithilfe des TTF-Tricks in einen Pufferspeicher gelangte, der für das IPP-Druckprotokoll vorgesehen ist.

Realistisches Angriffsszenario

Im Canon-Bulletin, in dem die Schwachstelle beschrieben wird, wird bestätigt, dass die Schwachstelle aus der Ferne ausgenutzt werden kann, wenn der Drucker über das Internet zugänglich ist. Daher schlägt Canon vor, eine Firewall so zu konfigurieren, dass der Drucker nur aus dem internen Unternehmensnetzwerk genutzt werden kann. Ein gut gemeinter Rat. Der öffentliche Zugriff auf Drucker sollte wirklich deaktiviert werden. Aber leider ist dies nicht das einzige Angriffsszenario.

Peter Geissler verwies in seinem Bericht auf ein viel realistischeres, hybrides Szenario, in dem der Angreifer einem Mitarbeiter einen Anhang in einer E-Mail oder in einer Messenger-Nachricht schickt, den dieser ausdrucken soll. Wenn das Opfer das Dokument zum Drucken sendet (innerhalb des internen Unternehmensnetzwerks und ohne Internetverbindung), wird der bösartige Code auf dem Drucker ausgeführt. Da die Malware nur den Drucker betrifft, hat der Angreifer natürlich eingeschränkte Möglichkeiten. Die Malware könnte jedoch beispielsweise einen Tunnel einrichten, indem eine Verbindung zum Server des Angreifers hergestellt wird. Dann könnte der Angreifer auch andere Computer im Unternehmen ins Visier nehmen. Eine weitere Anwendungsmöglichkeit für diese Malware auf dem Drucker wäre, dass alle im Unternehmen gedruckten Informationen direkt an den Server des Angreifers weitergeleitet werden. In bestimmten Unternehmen (beispielsweise Anwaltskanzleien) könnte dies mit einer kritischen Datenschutzverletzung enden.

So schützt du deinen Drucker

Die Schwachstelle CVE-2024-12649 und mehrere damit verwandte Fehler können behoben werden, wenn die Drucker-Firmware-Updates gemäß den Anweisungen von Canon installiert werden. Leider gibt es in vielen Unternehmen kein systematisches Aktualisierungsverfahren für Druckerfirmware. Dies kommt sogar in Firmen vor, die die Software auf Computern und Servern sorgfältig aktualisieren. Dieser Vorgang muss für alle an das Computernetzwerk angeschlossenen Geräte implementiert werden.

Sicherheitsforscher warnen jedoch davor, dass es eine Vielzahl von Angriffsvektoren gibt, die auf spezielle Geräte abzielen. Es besteht also keine Garantie, dass sich Angreifer nicht schon morgen mit einem ähnlichen Exploit auf den Weg machen, der den Druckerherstellern oder deren Kunden völlig unbekannt ist. Deshalb haben wir einige Tipps, um das Exploit-Risiko zu minimieren:

  • Segmentiere das Netzwerk, damit der Drucker weniger Möglichkeiten hat, ausgehende Verbindungen herzustellen und Verbindungen von nicht druckberechtigen Geräten und Nutzern zu akzeptieren.
  • Deaktiviere alle nicht verwendeten Dienste auf dem Drucker.
  • Lege für jeden Drucker und für jedes Gerät ein einmaliges, starkes Administratorpasswort fest.
  • Implementiere ein umfassendes Sicherheitssystem in deinem Unternehmen. Dazu zählen die EDR-Installation auf allen Computern und Servern, eine moderne Firewall und eine umfassende Netzwerküberwachung, die auf einem SIEM-System basiert.
Tipps

Das Flüstern der neuronalen Netze

Hast du schon von Whisper Leak gehört? Während du mit einem KI-Assistenten chattest, kann ein Angreifer das Gesprächsthema erraten, trotz Verschlüsselung. Wir untersuchen, wie das überhaupt möglich ist, und wie du deine KI-Chats schützen kannst.

  • Für alle anderen Länder