美国宾夕法尼亚州Pottstown市一家金融公司的安全经理阿龙-韦弗(Aaron Weaver)发现一种从网络向打印机发送垃圾信息的方法。韦弗使用大多数浏览器中一种鲜为人知的功能让网页指挥受害人网络上的任何打印机工作。这个网站可以让打印机打印攻击者指定的广告,而且从理论上说,网站还能够发送更危险的指令,如告诉打印机发送一个传真,格式化硬盘或者下载新的固件。
韦弗本周二在Ha。ckers。org网站上发表一篇研究论文说,这种攻击称作“跨站打印”。要使跨站打印攻击发挥作用,受害者必须要访问一个恶意网站或者访问一个有跨站脚本攻击安全漏洞的合法网站。跨站脚本攻击安全漏洞在网络编程中是一种常见的错误。黑客会向用户浏览器发送JavaScript代码,猜测受害者打印机的位置并且发送指令让打印机工作。
韦弗使用IE浏览器和火狐浏览器成功地实施了攻击。这种攻击仅在网络打印机上有效,直接连接到PC的打印机不会受到这种攻击。
由于大多数浏览器都能够连接到多数打印机使用的端口查找新的打印工作,这种攻击是可能的。因此,攻击者能够使用浏览器作为跳板连接到局域网的打印机。这是攻击者从来没有达到的地方。
虽然以前没有人展示过这种独特的攻击手段,但是,韦弗的研究是以网络安全研究人员都熟悉的两个概念为基础的:跨站脚本攻击和浏览器处理互联网协议方法中的安全漏洞。网络安全咨询公司SecTheory的首席执行官和Ha。ckers。org网站的所有者罗伯特-汉森(Robert Hansen)说,这种攻击是没有先例的。但是,他所做的事情是把我们谈论很长时间的两种概念结合在一起了。
研究人员已经显示了如何把浏览器作为连接到电子邮件或者VoIP服务器的网关。他们认为,由于浏览器具有连接到互联网和局域网的功能,浏览器将成为网络攻击的重要来源。汉森说,浏览器中还会发现更多的安全漏洞。
韦弗表示,他担心他的研究结果可能会导致对互联网发动的新的攻击。这是他推迟发表论文和没有发布全部利用安全漏洞的代码的原因。
跨站打印机垃圾信息会不会很快在网络上出现呢?韦弗认为这种事情很可能会发生。他说,垃圾信息制造者什么手段都会尝试。
沪公网安备 31011702001106号