Microsoft обяви нов защитен режим за печат на Windows (WPP), който въвежда значителни подобрения в сигурността на системата за печат на Windows.
„WPP надгражда съществуващия стек за печат IPP, при който се поддържат само сертифицирани от Mopria принтери, и изключва възможността за зареждане на драйвери на трети страни. По този начин можем да направим значими подобрения в сигурността на печата в Windows, които иначе не биха могли да се случат“, казва Джонатан Норман, главен инженер мениджър на Microsoft Offensive Research & Security Engineering (MORSE).
„Грешките в печатането изиграха роля в Stuxnet и Print Nightmare и представляват 9% от всички случаи на Windows, докладвани на MSRC.“
Екипът на Microsoft Offensive Research & Security Engineering (MORSE) анализира всички случаи на MSRC, свързани с Windows Print, и „установи е, че режимът Windows Protected Print Mode смекчава над половината от тези уязвимости“.
Забележително е, че след като WPP се разпространи и се активира по подразбиране във всички системи Windows, Redmond ще се откажат от стартирането на вградената услуга Print Spooler като SYSTEM, а вместо това ще я стартират като ограничена услуга.
Това драстично ще намали достъпа ѝ до ресурси и привилегии, като по този начин ще намали привлекателността на процеса Spooler като потенциална цел за експлоатация.
Освен това Microsoft ще премахне няколко вектора на атака, използвани преди от злонамерени хакери, насочени към потребителите на Windows. Според Норман ще бъдат премахнати многобройни крайни точки на RPC и различни наследени компоненти, които са били обект на атаки в миналото.
Освен това WPP ще бъде снабден и с бинарни смекчаващи мерки за увеличаване на трудностите при експлоатация, включително:
- Технология за налагане на контролни потоци (CFG, CET): Хардуерно базирано смекчаване, което помага за намаляване на атаките, базирани на програмиране, ориентирано към връщане (ROP).
- Деактивирано създаване на детски процеси: Създаването на детски процеси ще бъде блокирано. Това не позволява на атакуващите да създадат нов процес, ако получат изпълнение на код в Spooler.
- Защита на пренасочването: Предотвратява много често срещани атаки за пренасочване на пътя, често насочени към Print Spooler.
- Защита от произволен код: Предотвратява динамичното генериране на код в рамките на даден процес.
След като режимът WPP е активиран, нормалните операции на сполера ще преминават през нов Spooler, който включва множество подобрения на WPP, като например:
- Ограничена/сигурна конфигурация на печата: ограничава възможността на атакуващите да използват Spooler за модифициране на файлове в системата.
- Блокиране на модули: API, които позволяват зареждане на модули, ще бъдат променени, за да се предотврати зареждането на нови модули.
- Изобразяване на XPS за всеки потребител: XPS рендирането ще се изпълнява като потребител вместо като SYSTEM в WPP, за да се сведе до минимум въздействието на много уязвимости, свързани с повреда на паметта.
- По-добра транспортна сигурност: WPP ще разяснява на потребителите кога техният трафик е криптиран и ще ги насърчава да активират криптирането, когато това е възможно.
„Нашата цел е в крайна сметка да предоставим най-сигурната конфигурация по подразбиране и да осигурим гъвкавост за връщане към стария (базиран на драйвери) печат по всяко време, ако потребителите установят, че техният принтер не е съвместим“, каза Норман.
„WPP вече е в Insider билдове и се надяваме, че ще ни помогнете да тестваме, като изпробвате функцията и предоставите обратна връзка. Потребителите могат да активират функцията, като следват инструкциите, предоставени тук.“
Microsoft също така увери, че тези подобрения в сигурността няма да засегнат клиентите с по-стари принтери, тъй като те могат да активират наследената поддръжка.
Драйвери за принтери на трети страни, блокирани в Windows Update
Това се случва по петите на съобщението на Redmond, че Windows Update в крайна сметка ще спре доставката на драйвери за принтери от трети страни през следващите четири години като част от постепенна и значителна промяна в стратегията за драйвери за принтери.
От 2025 г. Microsoft ще блокира подаването на драйвери от доставчиците на принтери, така че чрез Windows Update няма да бъдат предоставяни нови драйвери за принтери от трети страни.
До 2026 г. Редмънд планира да коригира системата за класиране на драйверите за принтери, като даде приоритет на вътрешните драйвери на Windows от клас IPP (Internet Printing Protocol). Освен това през 2027 г. ще спре да разпространява актуализации на драйвери за принтери на трети страни чрез Windows Update, освен ако те не предоставят поправки на сигурността.
Потребителите обаче все още ще могат да инсталират драйвери за принтери, предоставени от доставчиците чрез техните уебсайтове като самостоятелни инсталационни пакети. Microsoft също така планира да продължи да коригира по-стари драйвери за принтери, докато съответните версии на Windows са в рамките на жизнения си цикъл на поддръжка.
„Както виждате, отказът от печат на базата на драйвери предлага много предимства на потребителите и позволява на Microsoft да направи много значими подобрения в нашата система за печат. Съществуващата система, базирана на драйвери, създадена преди десетилетия, зависи от много трети страни и Microsoft, като всички те играят своята роля, което се оказа твърде бавно за съвременните заплахи“, каза Норман.
„Това е ранна версия; много функции са непълни и подлежат на промяна въз основа на обратна връзка. Например, днес ни липсва потребителски интерфейс, а много подобрения в областта на сигурността все още са в процес на разработка. С течение на времето тези подобрения ще продължат да се въвеждат в Insider Builds, тъй като работим за подобряване на WPP.“