微软宣布了适用于 Windows 11 的新打印系统,该系统将默认安装,旨在提供更多的安全性。
通过这种方式,它避免了第三方驱动程序的安装,以减少打印系统中的漏洞。
该公司解释说,2022 年,微软进攻性研究与安全工程团队致力于对其开发的操作系统的打印系统进行现代化改造。
有了这个,他回忆说,他最近宣布结束 Windows 中的第三方驱动程序服务,该服务将于 2025 年停止通过 Windows Update 分发。
这意味着制造商将不再能够通过微软的服务分发其打印机安装和升级。
该公司现在宣布推出 Windows 保护打印模式,这是“一种新的、现代的、安全的打印体验”。
默认情况下,它将在此操作系统上激活,正如它在声明中所阐明的那样。
安全是主要动力
微软承认,这一变化背后的最大动机之一是安全性。
这是由于Stuxnet和Print Nightmare等备受瞩目的攻击,它们利用了打印系统中的漏洞。
事实上,这些占向微软安全响应中心团队报告的所有案例的 9%。
为了确定WPP系统的有用性,MORSE分析了这些恶意活动对Windows打印系统Windows Print的影响。
经过分析,它发现这种新的受保护的打印模式已经能够减轻恶意行为者用来传播其活动的“一半以上”的漏洞。
该公司强调了印刷生态系统的复杂性,因为它明白它基于“共担责任”的方法。
他们说,这种妥协涉及微软和第三方驱动程序开发人员,以防止更新添加漏洞。
打印噩梦示例
在这方面,他举了Print Nightmare攻击为例,这是授权绕过错误的结果。
此 bug 允许经过身份验证的远程用户使用 RPC RpcAddPrinterDriver 过程安装打印驱动程序。
指定驱动程序文件后,它将作为动态链接库或 DLL 加载,并在后台处理程序进程中执行。
因此,攻击者被授予了系统的大部分权限。
对于微软来说,修复这个缺陷是“棘手的”,因为有一个名为Point e Print的功能。
它允许用户在不提供光盘和其他安装介质的情况下创建与远程打印机的连接。
打印驱动程序面临的一个挑战是它们的年龄,而较新的驱动程序与现代安全缓解措施不兼容。
其中包括控制流防护、控制流执行技术和任意代码防护等。
INTERNET 打印协议
WPP 演示文稿中介绍的另一个概念是 Internet 打印协议,它基于 HTTP,支持多种身份验证方法。
新增功能是 WPP 通过禁用第三方打印机驱动程序来扩展现有 IPP 的打印。
这提高了打印过程的安全性,并引入了新的二进制缓解措施。
其中包括控制流应用技术,它有助于缓解基于返回编程的攻击。
该系统还将阻止创建辅助进程,防止攻击者在后台处理程序中设法执行代码时生成新进程。
另一方面,使用重定向防护,可以防止通常针对打印后台处理程序的常见路径重定向攻击。
微软评论说,WPP目前在Windows Insider版本中供测试人员使用,其许多功能不完整,可能会根据用户反馈进行更改。
