{"id":32939,"date":"2025-12-02T14:04:28","date_gmt":"2025-12-02T12:04:28","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32939"},"modified":"2025-12-02T14:04:28","modified_gmt":"2025-12-02T12:04:28","slug":"canon-ttf-vulnerability-printer-risk","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/canon-ttf-vulnerability-printer-risk\/32939\/","title":{"rendered":"Attacke! Schriftarten gegen Drucker"},"content":{"rendered":"

Heutzutage k\u00f6nnen sich Angreifer in der Infrastruktur eines Unternehmens immer seltener \u00fcber eine Workstation ohne einen EDR-Agenten <\/a> freuen. Daher konzentrieren sich Cyberkriminelle auf Server oder andere spezialisierte Ger\u00e4te. Diese sind auch mit dem Netzwerk verbunden und haben relativ weitreichende Zugriffsrechte, daf\u00fcr fehlen ihnen aber oft ein EDR-Schutz und sogar Protokollierungsfunktionen. \u00dcber die verschiedenen Arten von anf\u00e4lligen B\u00fcroger\u00e4ten<\/a> haben wir bereits ausf\u00fchrlich berichtet. Im Jahr 2025 konzentrieren sich echte Angriffe auf Netzwerkger\u00e4te (z.\u00a0B. VPN-Gateways, Firewalls und Router), Video\u00fcberwachungssysteme und Server. Aber auch Drucker sollten nicht \u00fcbersehen werden. Daran erinnerte der unabh\u00e4ngige Forscher Peter Geissler beim Security Analyst Summit 2025<\/a>. Er beschrieb eine Schwachstelle, die er in Canon-Druckern gefunden hatte (CVE-2024-12649<\/a>, CVSS 9.8) und \u00fcber die auf diesen Ger\u00e4ten Schadcode ausgef\u00fchrt werden kann. Das Interessanteste an dieser Schwachstelle ist, dass dabei lediglich eine harmlos wirkende Datei zum Drucken gesendet werden muss.<\/p>\n

Trojaner-Schriftart: Angriff \u00fcber CVE-2024-12649<\/h2>\n

Der Angriff beginnt damit, dass eine XPS-Datei zum Drucken gesendet wird. Dieses von Microsoft entwickelte Format enth\u00e4lt alle Informationen zum Drucken von Dokumenten und dient als Alternative zu PDF. XPS ist eigentlich ein ZIP-Archiv, das eine detaillierte Beschreibung des Dokuments, aller enthaltenen Bilder und der verwendeten Schriftarten enth\u00e4lt. Die Schriftarten werden normalerweise im beliebten TTF-Format (TrueType Font) gespeichert, das von Apple entwickelt wurde. Wer w\u00fcrde schon etwas B\u00f6ses hinter einer Schriftart vermuten? Aber genau sie enth\u00e4lt hier den b\u00f6sartigen Code.<\/p>\n

Das TTF-Format wurde entwickelt, um Buchstaben auf jedem Medium identisch aussehen zu lassen und auf beliebige Gr\u00f6\u00dfe korrekt zu skalieren\u00a0\u2013 vom kleinsten Zeichen auf einem Bildschirm bis zu riesigen Lettern auf einem gedruckten Plakat. Dazu kann jedem Buchstaben eine Hinting<\/a>-Anweisung zugewiesen werden, die die Feinheiten der Darstellung kleiner Buchstaben beschreibt. Hinting-Anweisungen sind Befehle f\u00fcr eine kompakte virtuelle Maschine, die trotz ihrer Einfachheit alle grundlegenden Elemente der Programmierung unterst\u00fctzt: Speicherverwaltung, Spr\u00fcnge und Verzweigungen. Geissler und seine Kollegen untersuchten, wie diese virtuelle Maschine in Canon-Drucker implementiert ist. Sie stellten fest, dass die Ausf\u00fchrung einiger TTF-Hinting-Anweisungen Risiken birgt<\/a>. Die Befehle der virtuellen Maschine, die den Stack verwalten, pr\u00fcfen beispielsweise nicht, ob ein \u00dcberlauf vorliegt.<\/p>\n

Dadurch gelang es ihnen, eine b\u00f6sartige Schriftart zu erstellen. Wenn ein Dokument, das diese Schriftart enth\u00e4lt, auf bestimmten Canon-Druckern gedruckt wird, kommt es zu einem Stapelpuffer\u00fcberlauf, Daten werden au\u00dferhalb des Puffers der virtuellen Maschine geschrieben und schlie\u00dflich wird der Code auf dem Prozessor des Druckers ausgef\u00fchrt. Der gesamte Angriff erfolgt \u00fcber die TTF-Datei. Der restliche Inhalt der XPS-Datei ist harmlos. \u00dcbrigens ist es ziemlich schwierig, den Schadcode in der TTF-Datei zu finden: Er ist nicht sehr lang, der erste Teil besteht aus Anweisungen f\u00fcr virtuelle TTF-Maschinen und der zweite Teil l\u00e4uft auf dem exotischen, propriet\u00e4ren Canon-Betriebssystem (DryOS).<\/p>\n

Zum Hintergrund: Canon hat sich in den letzten Jahren auf die Sicherheit der Drucker-Firmware konzentriert. F\u00fcr ARM-Prozessoren werden beispielsweise DACR<\/a>-Register und NX-Flags (no-execute) verwendet, um die M\u00f6glichkeit einzuschr\u00e4nken, Systemcode zu modifizieren oder Code in Speicherfragmenten auszuf\u00fchren, die nur zur Datenspeicherung dienen. Trotz dieser Bem\u00fchungen gew\u00e4hrleistet die DryOS-Architektur aber keine effektive Implementierung von Speicherschutzmechanismen wie ASLR<\/a> oder Stack Canary<\/a>, die f\u00fcr gr\u00f6\u00dfere moderne Betriebssysteme typisch sind. Deshalb gelingt es Forschern immer wieder, den bestehenden Schutz zu umgehen. Bei dem hier beschriebenen Angriff wurde beispielsweise der b\u00f6sartige Code erfolgreich ausgef\u00fchrt, indem er mithilfe des TTF-Tricks in einen Pufferspeicher gelangte, der f\u00fcr das IPP-Druckprotokoll vorgesehen ist.<\/p>\n

Realistisches Angriffsszenario<\/h2>\n

Im Canon-Bulletin<\/a>, in dem die Schwachstelle beschrieben wird, wird best\u00e4tigt, dass die Schwachstelle aus der Ferne ausgenutzt werden kann, wenn der Drucker \u00fcber das Internet zug\u00e4nglich ist. Daher schl\u00e4gt Canon vor, eine Firewall so zu konfigurieren, dass der Drucker nur aus dem internen Unternehmensnetzwerk genutzt werden kann. Ein gut gemeinter Rat. Der \u00f6ffentliche Zugriff auf Drucker sollte wirklich deaktiviert werden. Aber leider ist dies nicht das einzige Angriffsszenario.<\/p>\n

Peter Geissler verwies in seinem Bericht auf ein viel realistischeres, hybrides Szenario, in dem der Angreifer einem Mitarbeiter einen Anhang in einer E-Mail oder in einer Messenger-Nachricht schickt, den dieser ausdrucken soll. Wenn das Opfer das Dokument zum Drucken sendet (innerhalb des internen Unternehmensnetzwerks und ohne Internetverbindung), wird der b\u00f6sartige Code auf dem Drucker ausgef\u00fchrt. Da die Malware nur den Drucker betrifft, hat der Angreifer nat\u00fcrlich eingeschr\u00e4nkte M\u00f6glichkeiten. Die Malware k\u00f6nnte jedoch beispielsweise einen Tunnel einrichten, indem eine Verbindung zum Server des Angreifers hergestellt wird. Dann k\u00f6nnte der Angreifer auch andere Computer im Unternehmen ins Visier nehmen. Eine weitere Anwendungsm\u00f6glichkeit f\u00fcr diese Malware auf dem Drucker w\u00e4re, dass alle im Unternehmen gedruckten Informationen direkt an den Server des Angreifers weitergeleitet werden. In bestimmten Unternehmen (beispielsweise Anwaltskanzleien) k\u00f6nnte dies mit einer kritischen Datenschutzverletzung enden.<\/p>\n

So sch\u00fctzt du deinen Drucker<\/h2>\n

Die Schwachstelle CVE-2024-12649 und mehrere damit verwandte Fehler k\u00f6nnen behoben werden, wenn die Drucker-Firmware-Updates gem\u00e4\u00df den Anweisungen von Canon<\/a> installiert werden. Leider gibt es in vielen Unternehmen kein systematisches Aktualisierungsverfahren f\u00fcr Druckerfirmware. Dies kommt sogar in Firmen vor, die die Software auf Computern und Servern sorgf\u00e4ltig aktualisieren. Dieser Vorgang muss f\u00fcr alle an das Computernetzwerk angeschlossenen Ger\u00e4te implementiert werden.<\/p>\n

Sicherheitsforscher warnen jedoch davor, dass es eine Vielzahl von Angriffsvektoren gibt, die auf spezielle Ger\u00e4te abzielen. Es besteht also keine Garantie, dass sich Angreifer nicht schon morgen mit einem \u00e4hnlichen Exploit auf den Weg machen, der den Druckerherstellern oder deren Kunden v\u00f6llig unbekannt ist. Deshalb haben wir einige Tipps, um das Exploit-Risiko zu minimieren:<\/p>\n