/
Не верифицирован

Microsoft анонсировал защищенный режим печати Windows

111

 

Microsoft представила новый безопасный режим печати Windows (WPP), который значительно повышает безопасность системы. Он создан с опорой на стек печати IPP и поддерживает только принтеры, сертифицированные Mopria, исключая возможность загрузки сторонних драйверов.

 

Джонатан Норман, главный инженер-менеджер Microsoft Offensive Research & Security Engineering (MORSE), сообщил, что ошибки печати составляют 9% всех случаев проблем Windows, о которых сообщалось в MSRC. Его команда проанализировала все случаи, связанные с печатью и обнаружила, что защищённый режим печати устраняет более 50% уязвимостей.

 

Когда WPP будет включен по умолчанию во всех системах Windows, Microsoft откажется от запуска встроенной службы диспетчера очереди печати в качестве системной и запустит её как службу с ограниченным доступом. Это значительно ограничит доступ к ресурсам и привилегиям.

 

Кроме того, компания устранит несколько векторов атак, ранее использованных злоумышленниками, нацеленных на пользователей. По словам Нормана, будут удалены многочисленные конечные точки RPC и различные устаревшие компоненты, которые использовались в прошлом.

 

WPP будет включать различные меры по снижению сложности эксплуатации, включая:

- Технологию управления потоком управления (CFG, CET) — аппаратную защиту, которая помогает снизить риск атак на основе возвратно-ориентированного программирования (ROP).

- Отключение создания дочернего процесса, чтобы злоумышленники не могли создать его, если получат выполнение кода в спулере.

- Redirection Guard, которая предотвращает множество распространённых атак с перенаправлением пути, часто нацеленных на диспетчер очереди печати.

- Защита произвольного кода, которая блокирует динамическую генерацию кода внутри процесса.

 

После внедрения режима WPP обычные операции спулера будут проходить через новый режим, включающий несколько улучшений. В первую очередь, будет внедрена ограниченная и безопасная конфигурация печати, которая предотвратит возможность изменения файлов в системе через спулер. Также будет блокировка модулей благодаря изменениям в API, которые разрешают загрузку только определенных модулей.

 

Для повышения безопасности, каждому пользователю будет предоставлен рендеринг XPS, который будет выполняться от его имени, а не от системы в режиме WPP. Это поможет минимизировать риски, связанные с повреждением памяти.

 

Также будет улучшена безопасность трафика, и WPP будет информировать пользователей о шифровании и предлагать включать шифрование, когда это возможно.

 

Тестирование WPP находится в стадии сборки внутренних версий.

 

Начиная с 2025 года, Microsoft будет блокировать отправку драйверов от поставщиков принтеров и они не будут доступны через центр обновлений компании. В 2026 году компания планирует изменить систему ранжирования драйверов принтеров и отдавать приоритет драйверам собственного класса протокола печати через интернет Windows (IPP). В 2027 году компания прекратит распространение сторонних обновлений драйверов принтеров через Центр обновлений, если не будет предоставлено исправление безопасности.

 

Однако пользователи по-прежнему смогут устанавливать драйверы принтеров от поставщиков через их веб-сайты в виде отдельных пакетов. Кроме того, Microsoft планирует продолжать исправлять старые драйверы принтеров, пока они поддерживаются соответствующими версиями Windows.

 

Пользователи Windows 11 раньше сталкивались с проблемой, когда после обновления системы на их ПК и виртуальных машинах внезапно установилось приложение HP Smart для управления принтерами и другими устройствами периферии. Кроме того, центр обновлений через распространение файла метаданных от HP в течение некоторого времени переименовывал все принтеры в системе в HP Laser M101-M106. Microsoft признала, что это был баг, не связанный с HP, и выпустила обновление KB5034510 для его исправления.

 

Материалы по теме: