Microsoft anunció un nuevo Windows Protected Print Mode (WPP), que
introduce importantes mejoras de seguridad en el sistema de impresión de
Windows.
«WPP se basa en la pila de impresión IPP existente, donde solo se admiten
impresoras certificadas por Mopria, y desactiva la capacidad de cargar controladores de terceros. Al hacer
esto, podemos realizar mejoras significativas en la seguridad de impresión
en Windows que de otro modo no podrían ocurrir»,
dijo Johnathan Norman, director de Microsoft Offensive Research & Security Engineering
(MORSE).
«Los errores de impresión desempeñaron un papel en Stuxnet y Print
Nightmare, y representan el 9% de todos los casos de Windows reportados a
MSRC».
El equipo de MORSE analizó todos los casos de MSRC vinculados a Windows Print
y
«descubrió que el modo de impresión protegida de Windows mitigó más de la
mitad de esas vulnerabilidades».
En particular, una vez que WPP se implemente y se habilite de forma
predeterminada en todos los sistemas Windows, Redmond dejará de ejecutar el
servicio Print Spooler integrado como SYSTEM y, en cambio, lo iniciará como un
servicio restringido. Esto reducirá drásticamente su acceso a recursos y
privilegios, mitigando el atractivo del proceso Spooler como objetivo
potencial de explotación.
Además, Microsoft eliminará varios vectores de ataque previamente explotados
por actores maliciosos dirigidos a usuarios de Windows.
Según Norman, se eliminarán numerosos puntos finales RPC y varios componentes heredados
atacados en el pasado.
Además, WPP también incluirá mitigaciones binarias para aumentar la dificultad
de explotación, que incluyen:
-
Control Flow Enforcement Technology (CFG,
CET): mitigación basada en hardware que ayuda a mitigar los ataques basados en
programación orientada al retorno (ROP). -
Creación de procesos secundarios deshabilitada: se bloqueará la creación de
procesos secundarios. Esto evita que los atacantes generen un nuevo proceso
si obtienen la ejecución de código en Spooler. -
Protección de redirección: evita muchos ataques de redirección de rutas
comunes, que a menudo tienen como objetivo el administrador de trabajos de
impresión. -
Guardia de código arbitrario: evita la generación de código dinámico dentro
de un proceso.
Una vez que se habilita el modo WPP, las operaciones normales del Spooler
pasarán por un nuevo Spooler que incluye múltiples mejoras de WPP, como:
-
Configuración de impresión limitada/segura: limita la oportunidad de los
atacantes de aprovechar el Spooler para modificar archivos en el sistema. -
Bloqueo de módulos: las API que permiten la carga de módulos se modificarán
para evitar la carga de nuevos módulos. -
Representación XPS por usuario: la representación XPS se ejecutará como
usuario en lugar de SYSTEM en WPP para minimizar el impacto de muchas
vulnerabilidades de corrupción de memoria. -
Mejor seguridad en el transporte: WPP dejará claro a los usuarios cuándo su
tráfico está cifrado y los alentará a habilitar el cifrado cuando sea
posible.
«Nuestro objetivo es, en última instancia, proporcionar la configuración
predeterminada más segura y brindar la flexibilidad de volver a la impresión
heredada (basada en controladores) en cualquier momento, si los usuarios
descubren que su impresora no es compatible», afirmó Norman.
«WPP se encuentra ahora en versiones Insider y esperamos que nos ayude a
probar la función y brindarnos sus comentarios. Los usuarios pueden
habilitar la función siguiendo las instrucciones proporcionadas aquí».
Microsoft también se aseguró de que estas mejoras de seguridad no afectaran a
los clientes con impresoras más antiguas, ya que podrían habilitar el soporte
heredado.
Esto viene inmediatamente después de que Redmond anunciara que Windows Update
eventualmente detendrá la entrega de controladores de impresora de terceros
durante los próximos cuatro años como parte de un cambio gradual y
significativo en su estrategia de controladores de impresora.
A partir de 2025, Microsoft bloqueará los envíos de controladores por parte de
proveedores de impresoras, por lo que no habrá nuevos controladores de
impresoras de terceros disponibles a través de Windows Update.
Para 2026, Redmond planea ajustar el sistema de clasificación de controladores
de impresora, dando prioridad a los controladores internos de clase del
Protocolo de impresión de Internet (IPP) de Windows. Además, dejará de
distribuir actualizaciones de controladores de impresoras de terceros a través
de Windows Update en 2027, a menos que proporcione correcciones de seguridad.
Sin embargo, los usuarios aún podrán instalar los controladores de impresora
proporcionados por los proveedores a través de sus sitios web como paquetes de
instalación independientes. Microsoft también planea continuar parcheando los
controladores de impresoras más antiguos siempre que las versiones de Windows
asociadas estén dentro de sus ciclos de vida de soporte.
«Como puede ver, alejarse de la impresión basada en controladores ofrece
muchos beneficios a los usuarios y permite a Microsoft realizar muchas
mejoras significativas en nuestro sistema de impresión. El sistema basado en
controladores existente, establecido hace décadas, depende de muchos
terceros y de Microsoft. desempeñando su papel, que ha demostrado ser
demasiado lento para las amenazas modernas», afirmó Norman.
Esta es una versión temprana; muchas características están incompletas y
sujetas a cambios según los comentarios. Por ejemplo, hoy carecemos de una
interfaz de usuario y muchas mejoras de seguridad aún están en progreso. Con
el tiempo, estas mejoras continuarán implementándose en Insider Builds.
Fuente:
BC
Los comentarios están cerrados.