Microsoft запускает новый режим защищённой печати Windows

Компания Microsoft объявила о запуске нового режима защищённой печати Windows (Windows Protected Print Mode, WPP), который внесёт значительные улучшения в систему печати Windows с точки зрения безопасности.

Режим WPP базируется на существующем стеке печати IPP (Internet Printing Protocol), поддерживающем только принтеры, сертифицированные Mopria , и исключает возможность использования сторонних драйверов. По словам Джонатана Нормана, руководителя отдела исследований и безопасности Microsoft (MORSE), так корпорация может существенно улучшить безопасность печати в Windows, «чего иначе бы не произошло».

Также отмечается, что проблемы с печатью играли роль в таких инцидентах, как Stuxnet и Print Nightmare, и составляют 9% всех случаев, связанных с Windows, сообщаемых в MSRC. Microsoft проанализировала все случаи, связанные с Windows Print, и обнаружила, что режим WPP помогает устранить более 50% уязвимостей.

После внедрения WPP по умолчанию служба печати Print Spooler будет запускаться в ограниченном режиме, а не от имени SYSTEM, что значительно сократит её доступ к ресурсам и привилегиям, снижая привлекательность службы для злоумышленников.

Кроме того, Microsoft устранит несколько векторов атак, ранее использовавшихся злоумышленниками для атаки на пользователей Windows. Будут удалены многочисленные точки удалённого вызова процедур (Remote Procedure Call, RPC) и различные устаревшие компоненты.

Кроме того, WPP также будет включать двоичные меры по снижению сложности эксплуатации, в том числе:

• Технология управления потоком управления ( CFG , CET ): аппаратное средство защиты, которое помогает смягчить атаки на основе возвратно-ориентированного программирования (ВОП).
• Создание дочернего процесса будет отключено: это не позволяет злоумышленникам создать новый процесс, если они получат выполнение кода в спулере.
• Redirection Guard: предотвращает многие распространенные атаки с перенаправлением пути, часто нацеленные на диспетчера очереди печати.
• Блокировка выполнения произвольного кода: предотвращает генерацию динамического кода внутри процесса.

После включения режима WPP обычные операции спулера будут проходить через новый спулер, который объединяет несколько улучшений WPP, таких как:

• Конфигурация ограниченной/защищенной печати: ограничивает возможности злоумышленников использовать спулер для изменения файлов в системе.
• Блокировка модулей: API, разрешающие загрузку модулей, будут изменены, чтобы предотвратить загрузку новых модулей.
• Рендеринг XPS для каждого пользователя: рендеринг XPS будет выполняться от имени пользователя, а не от системы в WPP, чтобы минимизировать влияние многих уязвимостей, связанных с повреждением памяти.
• Улучшенная транспортная безопасность: WPP будет информировать пользователей, когда их трафик шифруется, и будет предлагать им включать шифрование, когда это возможно.

WPP уже доступен в тестовых сборках Insider, и компания приглашает пользователей к активному тестированию и обратной связи. Компания также гарантирует, что улучшения безопасности не повлияют на клиентов со старыми принтерами, так как они смогут включить поддержку устаревших технологий.

В дополнение, Microsoft объявила, что Windows Update постепенно прекратит доставку драйверов сторонних производителей принтеров в течение следующих четырёх лет. С 2025 года компания перестанет принимать новые драйверы от производителей принтеров, а с 2027 года остановит распространение обновлений сторонних драйверов, за исключением обновлений безопасности.

Пользователи смогут устанавливать драйверы принтеров, предоставляемые производителями через их веб-сайты в виде отдельных пакетов установки. Кроме того, Microsoft планирует продолжать выпускать патчи для старых драйверов принтеров, пока соответствующие версии Windows находятся в рамках их жизненного цикла поддержки.