Η Microsoft αποκαλύπτει τη νέα, πιο ασφαλή λειτουργία εκτύπωσης με προστασία των Windows

Η Microsoft ανακοίνωσε

μι

α νέα προστατευμένη λειτουργία εκτύπωσης των Windows (WPP), εισάγοντας σημαντικές βελτιώσεις ασφαλείας στο σύστημα εκτύπωσης των Windows.

“Το WPP βασίζεται στην υπάρχουσα στοίβα εκτύπωσης IPP όπου υποστηρίζονται μόνο εκτυπωτές με πιστοποίηση Mopria και απενεργοποιεί τη δυνατότητα φόρτωσης προγραμμάτων οδήγησης τρίτων. Κάνοντας αυτό, μπορούμε να κάνουμε ουσιαστικές βελτιώσεις στην ασφάλεια εκτύπωσης στα Windows που διαφορετικά δεν θα μπορούσαν να συμβούν.”

είπε

“Τα σφάλματα εκτύπωσης έπαιξαν ρόλο στο Stuxnet και στο Print Nightmare και αντιπροσωπεύουν το 9% όλων των περιπτώσεων των Windows που αναφέρθηκαν στο MSRC.”

Συγκεκριμένα, μόλις το WPP κυκλοφορήσει και ενεργοποιηθεί από προεπιλογή σε όλα τα συστήματα Windows, το Redmond θα απομακρυνθεί από την εκτέλεση της ενσωματωμένης υπηρεσίας Print Spooler ως SYSTEM αλλά, αντ’ αυτού, θα την εκκινήσει ως περιορισμένη υπηρεσία.

Αυτό θα μειώσει δραστικά την πρόσβασή του σε πόρους και προνόμια, μετριάζοντας την ελκυστικότητα της διαδικασίας Spooler ως δυνητικού στόχου για εκμετάλλευση.

Επιπλέον, η Microsoft θα αφαιρέσει αρκετούς φορείς επίθεσης που είχαν προηγουμένως εκμεταλλευθεί από κακόβουλους παράγοντες που στοχεύουν χρήστες των Windows. Πολλά τελικά σημεία RPC και διάφορα στοιχεία παλαιού τύπου που στοχεύτηκαν στο παρελθόν θα καταργηθούν, σύμφωνα με

Νορμανδός

.

Επιπλέον, το WPP θα συνοδεύεται επίσης με δυαδικούς μετριασμούς για την αύξηση της δυσκολίας εκμετάλλευσης, όπως:

• Τεχνολογία επιβολής ροής ελέγχου (
  
  CFG
  
  ,
  
  CET
  
  ): Μετριασμός που βασίζεται σε υλικό που βοηθά στον μετριασμό των επιθέσεων που βασίζονται στον προγραμματισμό με προσανατολισμό στην επιστροφή (ROP).
• Απενεργοποιήθηκε η δημιουργία θυγατρικής διαδικασίας: Η δημιουργία θυγατρικής διαδικασίας θα αποκλειστεί. Αυτό εμποδίζει τους εισβολείς να δημιουργήσουν μια νέα διαδικασία εάν λάβουν εκτέλεση κώδικα στο Spooler.
• Redirection Guard: Αποτρέπει πολλές επιθέσεις ανακατεύθυνσης κοινών διαδρομών, που συχνά στοχεύουν την ουρά εκτύπωσης.
• Arbitrary Code Guard: Αποτρέπει τη δημιουργία δυναμικού κώδικα σε μια διαδικασία.

Μόλις ενεργοποιηθεί η λειτουργία WPP, οι κανονικές λειτουργίες ουράς θα περάσουν από μια νέα ουρά που περιλαμβάνει πολλαπλές βελτιώσεις WPP όπως:

• Περιορισμένη/ασφαλής διαμόρφωση εκτύπωσης: περιορίζει την ευκαιρία των εισβολέων να αξιοποιήσουν το Spooler για να τροποποιήσουν αρχεία στο σύστημα.
• Αποκλεισμός μονάδων: Τα API που επιτρέπουν τη φόρτωση λειτουργικών μονάδων θα τροποποιηθούν για να αποτραπεί η φόρτωση νέων λειτουργικών μονάδων.
• Απόδοση XPS ανά χρήστη: Η απόδοση XPS θα εκτελείται ως χρήστης αντί για SYSTEM στο WPP για να ελαχιστοποιήσει τον αντίκτυπο πολλών ευπαθειών καταστροφής της μνήμης
• Καλύτερη ασφάλεια μεταφοράς: Το WPP θα καταστήσει σαφές στους χρήστες πότε η επισκεψιμότητά τους είναι
  
  κρυπτο
  
  γραφημένη και θα τους ενθαρρύνει να ενεργοποιήσουν την κρυπτογράφηση όταν είναι δυνατόν.

“Στόχος μας είναι τελικά να παρέχουμε την πιο ασφαλή προεπιλεγμένη διαμόρφωση και να παρέχουμε την ευελιξία για επαναφορά της παλαιού τύπου εκτύπωσης (με βάση το πρόγραμμα οδήγησης) ανά πάσα στιγμή, εάν οι χρήστες διαπιστώσουν ότι ο εκτυπωτής τους

δεν είναι

συμβατός”, δήλωσε ο Norman.

“Το WPP βρίσκεται τώρα σε εκδόσεις Insider και ελπίζουμε ότι θα μας βοηθήσετε να δοκιμάσουμε τη λειτουργία και παρέχοντας σχόλια. Οι χρήστες μπορούν να ενεργοποιήσουν τη λειτουργία ακολουθώντας τις οδηγίες που παρέχονται

εδώ

.”

Η Microsoft διασφάλισε επίσης ότι αυτές οι βελτιώσεις ασφαλείας δεν θα επηρεάσουν πελάτες με παλαιότερους εκτυπωτές, καθώς θα μπορούσαν να ενεργοποιήσουν την υποστήριξη παλαιού τύπου.

Αποκλείστηκαν προγράμματα οδήγησης εκτυπωτή τρίτου κατασκευαστή στο Windows Update

Αυτό έρχεται αμέσως μετά την ανακοίνωση του Redmond ότι το Windows Update θα σταματήσει τελικά την παράδοση προγραμμάτων οδήγησης εκτυπωτή από τρίτους τα επόμενα τέσσερα χρόνια, ως μέρος μιας σταδιακής και σημαντικής αλλαγής στη στρατηγική του προγράμματος οδήγησης εκτυπωτή.

Από το 2025, η Microsoft θα αποκλείει τις υποβολές προγραμμάτων οδήγησης από προμηθευτές εκτυπωτών, επομένως δεν θα διατίθενται νέα προγράμματα οδήγησης εκτυπωτή τρίτων μέσω του Windows Update.

Έως το 2026, το Redmond σχεδιάζει να προσαρμόσει το σύστημα κατάταξης προγραμμάτων οδήγησης εκτυπωτή, δίνοντας προτεραιότητα στα προγράμματα οδήγησης της κατηγορίας Windows Internet Printing Protocol (IPP). Επιπλέον, θα σταματήσει να διανέμει ενημερώσεις προγραμμάτων οδήγησης εκτυπωτή τρίτων μέσω του Windows Update το 2027, εκτός εάν παρέχει διορθώσεις ασφαλείας.

Ωστόσο, οι χρήστες θα εξακολουθούν να μπορούν να εγκαταστήσουν προγράμματα οδήγησης εκτυπωτή που παρέχονται από προμηθευτές μέσω των ιστοσελίδων τους ως μεμονωμένα πακέτα εγκατάστασης. Η Microsoft σχεδιάζει επίσης να συνεχίσει να επιδιορθώνει τα παλαιότερα προγράμματα οδήγησης εκτυπωτών, εφόσον οι σχετικές εκδόσεις των Windows είναι εντός του κύκλου ζωής υποστήριξης.

“Όπως μπορείτε να δείτε, η απομάκρυνση από την εκτύπωση βάσει προγραμμάτων οδήγησης προσφέρει πολλά οφέλη στους χρήστες και επιτρέπει στη Microsoft να κάνει πολλές ουσιαστικές βελτιώσεις στο σύστημα εκτύπωσης. Το υπάρχον σύστημα που βασίζεται σε προγράμματα οδήγησης, που ιδρύθηκε πριν από δεκαετίες, εξαρτάται από πολλά τρίτα μέρη και τη Microsoft παίζοντας τον ρόλο τους, ο οποίος έχει αποδειχθεί πολύ αργός για τις σύγχρονες απειλές», είπε ο Νόρμαν.

“Πρόκειται για μια πρώιμη

κυκλοφορία

. Πολλές λειτουργίες είναι ελλιπείς και υπόκεινται σε αλλαγές βάσει σχολίων. Για παράδειγμα, σήμερα δεν έχουμε διεπαφή χρήστη και πολλές βελτιώσεις ασφαλείας βρίσκονται ακόμη σε

εξέλιξη

. Με την πάροδο του χρόνου αυτές οι βελτιώσεις θα συνεχίσουν να κυκλοφορούν στα Insider Builds ως εργαζόμαστε για να βελτιώσουμε το WPP».