категории | RSS

Microsoft представил безопасный режим защищённой печати Windows

Microsoft анонсировала новый защищённый режим печати Windows (WPP), который значительно повышает безопасность системы. Он опирается на существующий стек печати IPP, в котором поддерживаются только принтеры, сертифицированные Mopria, и исключает возможность загрузки сторонних драйверов. 

Джонатан Норман, главный инженер-менеджер Microsoft Offensive Research & Security Engineering (MORSE), рассказал, что ошибки печати составляют 9% всех случаев Windows, о которых сообщалось в MSRC. Его команда проанализировала все случаи, связанные с Windows Print, и «обнаружила, что защищённый режим печати Windows устранил более половины этих уязвимостей».

Как только WPP будет включен по умолчанию во всех системах Windows, Microsoft откажется от запуска встроенной службы диспетчера очереди печати в качестве системной, а вместо этого запустит её как службу с ограниченным доступом. Это резко сократит доступ к ресурсам и привилегиям.

Также Microsoft устранит несколько векторов атак, которые ранее использовались злоумышленниками, нацеленными на пользователей Windows. По словам Нормана, многочисленные конечные точки RPC и различные устаревшие компоненты, которые использовались в прошлом, будут удалены.

WPP будет включать различные меры по снижению сложности эксплуатации, в том числе:

технологию управления потоком управления (CFG, CET) — аппаратную защиту, которая помогает снизить риск атак на основе возвратно-ориентированного программирования (ROP);

отключение создания дочернего процесса, чтобы злоумышленники не могли создать его, если они получат выполнение кода в спулере;

Redirection Guard. которая предотвращает многие распространённые атаки с перенаправлением пути, часто нацеленные на диспетчер очереди печати;

защиту произвольного кода, которая блокирует динамическую генерацию кода внутри процесса.

После внедрения режима WPP обычные операции спулера будут проходить через новый, который включает несколько улучшений:

ограниченная/безопасная конфигурация печати, которая ограничивает возможность использовать спулер для изменения файлов в системе;

блокировка модулей благодаря изменениям в API, разрешающим их загрузку;

рендеринг XPS для каждого пользователя, который будет выполняться от его имени, а не от системы в WPP, чтобы минимизировать влияние уязвимостей, связанных с повреждением памяти;

улучшенная безопасность трафика, при которой WPP будет информировать пользователей, когда их трафик шифруется, и будет предлагать им включать шифрование, когда это возможно.

WPP тестируют в сборках Insider.

Начиная с 2025 года, Microsoft будет блокировать отправку драйверов от поставщиков принтеров, и они не будут доступны через Центр обновления Windows.

К 2026 году компания планирует скорректировать систему ранжирования драйверов принтеров, отдав приоритет драйверам собственного класса протокола печати через Интернет Windows (IPP). В 2027 году Microsoft прекратит распространение сторонних обновлений драйверов принтеров через Центр обновления Windows, если не будет предоставлено исправление безопасности.

Однако пользователи по-прежнему смогут устанавливать драйверы принтеров от поставщиков через их веб-сайты в виде отдельных пакетов. Microsoft также планирует продолжать исправлять старые драйверы принтеров, пока соответствующие версии Windows находятся в пределах их жизненного цикла поддержки.

Ранее некоторые пользователи Windows 11 столкнулись с тем, что при обновлении системы на их ПК и виртуальные машины внезапно установилось приложение HP Smart для управления принтерами HP и другими устройствами периферии. Кроме того, Центр обновления Windows 10/11 через распространение файла метаданных от HP некоторое время переименовывал все принтеры в системах в HP Laser M101-M106. Microsoft признала, что баг произошёл не по вине HP. Компания уже выпустила обновление KB5034510 против бага.



Источник новости: habr.com

DimonVideo
2023-12-19T10:50:02Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика