Microsoft анонсировала новый защищённый режим печати Windows (WPP), который значительно повышает безопасность системы. Он опирается на существующий стек печати IPP, в котором поддерживаются только принтеры, сертифицированные Mopria, и исключает возможность загрузки сторонних драйверов.
Джонатан Норман, главный инженер-менеджер Microsoft Offensive Research & Security Engineering (MORSE), рассказал, что ошибки печати составляют 9% всех случаев Windows, о которых сообщалось в MSRC. Его команда проанализировала все случаи, связанные с Windows Print, и «обнаружила, что защищённый режим печати Windows устранил более половины этих уязвимостей».
Как только WPP будет включен по умолчанию во всех системах Windows, Microsoft откажется от запуска встроенной службы диспетчера очереди печати в качестве системной, а вместо этого запустит её как службу с ограниченным доступом. Это резко сократит доступ к ресурсам и привилегиям.
Также Microsoft устранит несколько векторов атак, которые ранее использовались злоумышленниками, нацеленными на пользователей Windows. По словам Нормана, многочисленные конечные точки RPC и различные устаревшие компоненты, которые использовались в прошлом, будут удалены.
WPP будет включать различные меры по снижению сложности эксплуатации, в том числе:
технологию управления потоком управления (CFG, CET) — аппаратную защиту, которая помогает снизить риск атак на основе возвратно-ориентированного программирования (ROP);
отключение создания дочернего процесса, чтобы злоумышленники не могли создать его, если они получат выполнение кода в спулере;
Redirection Guard, которая предотвращает многие распространённые атаки с перенаправлением пути, часто нацеленные на диспетчер очереди печати;
защиту произвольного кода, которая блокирует динамическую генерацию кода внутри процесса.
После внедрения режима WPP обычные операции спулера будут проходить через новый, который включает несколько улучшений:
ограниченная/безопасная конфигурация печати, которая ограничивает возможность использовать спулер для изменения файлов в системе;
блокировка модулей благодаря изменениям в API, разрешающим их загрузку;
рендеринг XPS для каждого пользователя, который будет выполняться от его имени, а не от системы в WPP, чтобы минимизировать влияние уязвимостей, связанных с повреждением памяти;
улучшенная безопасность трафика, при которой WPP будет информировать пользователей, когда их трафик шифруется, и будет предлагать им включать шифрование, когда это возможно.
WPP тестируют в сборках Insider.
Начиная с 2025 года, Microsoft будет блокировать отправку драйверов от поставщиков принтеров, и они не будут доступны через Центр обновления Windows.
К 2026 году компания планирует скорректировать систему ранжирования драйверов принтеров, отдав приоритет драйверам собственного класса протокола печати через Интернет Windows (IPP). В 2027 году Microsoft прекратит распространение сторонних обновлений драйверов принтеров через Центр обновления Windows, если не будет предоставлено исправление безопасности.
Однако пользователи по-прежнему смогут устанавливать драйверы принтеров от поставщиков через их веб-сайты в виде отдельных пакетов. Microsoft также планирует продолжать исправлять старые драйверы принтеров, пока соответствующие версии Windows находятся в пределах их жизненного цикла поддержки.
Ранее некоторые пользователи Windows 11 столкнулись с тем, что при обновлении системы на их ПК и виртуальные машины внезапно установилось приложение HP Smart для управления принтерами HP и другими устройствами периферии. Кроме того, Центр обновления Windows 10/11 через распространение файла метаданных от HP некоторое время переименовывал все принтеры в системах в HP Laser M101-M106. Microsoft признала, что баг произошёл не по вине HP. Компания уже выпустила обновление KB5034510 против бага.
