[English]Druckerhersteller Lexmark hat bereits im Juni 2022 vor einer Schwachstelle in mehr als Hundert seiner Druckermodelle gewarnt. Angreifer, die sich bereits Zugang zur Firmware der Drucker verschafft haben, können sich dann dort über eine Schwachstelle einnisten. Das Ganze wurde aber erst Ende August 2022 durch einen Eintrag in die CVE-Datenbank öffentlich. Ein entsprechendes Firmware-Update will der Hersteller bis Mitte September 2022 bereitstellen. Weiterhin liegt mir die Information vor, dass mit diesem Firmware-Update auch das USB-Kommunikationsproblem von Lexmark-Druckern behoben werden soll. Dieses trat nach dem Juli 2022-Patchday auf und führt dazu, das Lexmark-Drucker nur noch unverständliche Zeichen ausgeben.
Anzeige
Schwachstelle in der Firmware
Im Lexmark Security Advisory CVE-2022-29850 (PDF, veröffentlicht im Juni 2022) schreibt der Hersteller, dass die Lexmark Firmware in einem komprimierten Nur-Lese-Dateisystem gespeichert werde. Dieses Nur-Lese-Dateisystem wird kontinuierlich auf Integrität geprüft, wenn Programme zur Ausführung in den RAM geladen werden. Bei einem Neustart des Geräts werden Gefährdungen und Problem beseitigt, die durch Manipulation der im RAM geladenen Firmware erfolgt sind.
Allerdings gibt es in älteren Firmware-Versionen eine Schwachstelle, die es einem Angreifer ermöglicht, die internen Konfigurationsdateien zu ändern. Das setzt aber voraus, dass der Angreifer das Gerät bereits kompromittiert hat und daher in der Lage ist, die Konfigurationsdateien zu ändern. In diesem Fäll bestände das Risiko, diese Kompromittierung dauerhaft zu machen, d. h. nach einem Neustart des Geräts bleibt diese kompromittiert.
Wichtig ist, dass die Schwachstelle nicht zur Kompromittierung des Druckers verwendet werden kann – sondern der Angreifer muss sich vorher auf anderen Wege im RAM eingenistet haben. Trotzdem stuft Lexmark die Schwachstelle mit einem CVSSv3 Base Score 9.8 ein, wobei die Ausnutzbarkeit als gering (3.9) angesehen wird. Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit kann zur Installation einer dauerhaften Hintertür auf dem betroffenen Gerät führen, schreibt der Hersteller.
Es gibt noch ein weiteres Advisory CVE-2019-11358 vom 30. August 2022, welches eine Schwachstelle in jQuery adressiert, die zu einer Dienstverweigerung, Remotecodeausführung oder Eigenschaftsinjektion führen kann. Diese Schwachstelle soll durch die Firmware-Version .081.001 und später behoben werden. Das würde mit dem nachfolgenden Firmware-Update also auch behoben.
Betroffene Geräte und noch kein Firmware-Update
Lexmark listet die über 100 betroffenen Druckermodelle im Lexmark Security Advisory CVE-2022-29850 auf und gibt an, dass Firmware-Versionen xxx.081.013 und älter betroffen seien. Das Firmware-Update xxx.081.014 a und spätere Versionen sollen die Schwachstelle beheben. Soweit so gut.
Anzeige
Zur Kontrolle des Firmware-Stands eines Geräts lässt sich der Menüpunkt "Einstellungen"->"Berichte"->"Menü Einstellungsseite" auf dem Bedienfeld wählen. Stimmt der unter "Geräteinformationen" aufgelistete Firmware-Stand mit einem Stand unter "Affected Releases" aus CVE-2022-29850 überein, rät der Hersteller, diese auf den Stand unter "Fixed Release" zu aktualisieren.
Die Firmware-Updates sollen sich laut Advisory über die Lexmark-Supportseite herunterladen lassen. Ich habe mal kurz auf der Lexmark-Supportseite geschaut, dort werden bisher aber nur ältere Firmware-Versionen wie MXNGM.076.308.zip für den Lexmark MB2338 angeboten.
Firmware-Update soll USB-Kommunikationsproblem in Windows mit beheben
Bei heise ist das Lesern ebenfalls aufgefallen und die Redaktion hat beim Hersteller nachgefragt. Laut diesem Artikel liefert Lexmark folgende Erklärung:
Lexmark hat Ende Juli Firmware als Sicherheitsempfehlung herausgebracht. Da bei einigen Kunden leider Probleme bei der Installation dieser ursprünglichen Firmware auftraten, haben wir sie von der Website genommen. Wir testen derzeit ein Firmware-Upgrade, das nicht nur die Schwachstelle adressiert, sondern auch Fixes im Zusammenhang mit einem Microsoft-Patch beinhaltet, das kürzlich veröffentlicht wurde, um USB-Kommunikationsfehler bei Druckgeräten zu beheben. Wir gehen davon aus, dass das neue Firmware-Upgrade bis Mitte September verfügbar sein wird. Kunden, die jetzt schon upgraden möchten, und dann noch einmal für das Microsoft-Patch, können sich an das Technische Support Center von Lexmark wenden.
Und da fällt mir diese Stellungnahme wieder als kleines Puzzleteil vor die Füße, denn ich hatte ja im Blog-Beitrag Windows: Druckerprobleme nach Juli 2022 Patchday und Fixes berichtet, dass Lexmark-Drucker seit dem Juli 2022-Patchday teilweise nur noch unverständliche Zeichen drucken. Im Beitrag sind die betreffenden Kommentare von Lesern aus dem Blog verlinkt. Die Tage hat Blog-Leser Simon B. bei mir wegen des Windows USB-Druckerproblems mit Lexmark-Druckern nachgefragt und schrieb.
Hallo Herr Born,
vorerst vielen Dank für Ihren super Blog und die damit verbundene Arbeit. Es ist immer wieder sehr informativ und eine sehr gute Anlaufstelle für Probleme. So auch die Problematik mit lokalen USB Druckern nach den Windows Updates vom Juli 2022. Sowohl im deutschen auch als englischen Blog ließen sich Hinweise dazu finden:
Windows: Printer issues after July 2022 patchday and fixes
Kommentar zum Beitrag Patchday: Windows 10-Updates (12. Juli 2022)Die teilweise neu entstandenen Druckerobjekte, die über einen weiteren "Druckeranschluss" (USB002. USB003 etc.) verfügten, ließen sich ja relativ leicht lösen.
Probleme machen bei uns teilweise weiterhin Drucker von Lexmark die lokal an Arbeitsplätzen angeschlossen sind. Die Lexmark-Geräte drucken teilweise nur Sonderzeichen und dies auch pausenlos, unabhängig davon, wie viele Seiten das zu druckende Dokument umfasst. Für die betroffenen Geräte finde ich auf der Herstellerseite keine aktualisierten Treiber (Firmware vom 8. Juli 2022, Treiber vom 6. Juni 2022).
Haben Sie ggf. neuere Erkenntnisse oder Hinweise zu der Thematik?
Vielen Dank!
Simon B.
Nun, mit der obigen Stellungnahme deutet sich an, dass Lexmark bis Mitte September 2022 ein Firmware-Update herausbringt, welches einerseits die Schwachstelle schließt, aber andererseits auch das USB-Druckerkommunikationsproblem für betroffene Windows-Systeme schließt. Vielleicht hilft es euch weiter.
Ergänzung: Die revidierte Firmware wurde erneut freigegeben, siehe Lexmark Firmware-Update schließt Schwachstelle und korrigiert Windows-Druckerproblem
Ähnliche Artikel:
Windows: Druckerprobleme nach Juli 2022 Patchday und Fixes
Kritische Schwachstelle CVE-2021-44738 in Lexmark-Druckern (Jan. 2022)
Weitere Lexmark-Schwachstellen – Nachlese zur Drucker-Schwachstelle (Feb. 2022)
Anzeige
Aufgrund dieser Meldung hatte ich bei unserem Druckerpartner nachgefragt, weil ich mich fragte, warum redet Lexmark von Firmware Version 81. Scheinbar ist es so, dass V.076.308 (gilt auch für M3250) schlicht die neuste "stable" Version ist, alle anderen, neueren Versionen sind noch nicht offiziell freigegeben. Mit Login bei Lexmark käme man durchaus an die neusten Firmware heran, jedoch seien die noch nicht für die Öffentlichkeit freigegeben, also noch nicht stable. Da habe er schlechte Erfahrungen gemacht, das solle man noch lassen.
Bin gespannt ob Mitte September dann doch noch was rauskommt.
Danke für deine Ergänzungen. Immerhin ist jetzt für die vom USB-Kommunikationsproblem Betroffenen eine Info, dass Lexmark an einem Fix sitzt, öffentlich.
Danke für den Super Blog !!
Wir haben ca. 350 Lexmarkdrucker (4 verschiedene Modelle), die betroffen sind, allerdings gab es auf der Lexmarksupport-Seite Anfang Juni offiziell die Firmware 081.205 zum Download. Leider wurde diese – wahrscheinlich auf Grund der Fehler – wieder zurückgezogen. Die 081.205 habe ich auf allen Netzwerkdruckern installiert und kann keinen Fehler feststellen. Lokale Drucker haben wir nicht. Warten wir ab, was die nächste Version bringt.
Bei Lexmark stehen für unsere Modelle ab heute die neue Firmwareversion 081.215 auf der Lexmark-Support-Seite zur Verfügung. Die Release-Notes beschreiben viele Fehler, die behoben werden sollen. Auch ist die Rede von einer 081.212 Version, die ich aber nie gesehen habe, vielleicht war diese auch nicht öffentlich.
Danke, hatte es seit Ende voriger Woche für heute auf dem Radar – siehe auch die Ergänzung am Beitragsende.