Microsoft внедрила новый режим защиты печати, названный Windows Protected Print Mode (WPP). Это одно из крупнейших обновлений системы печати Windows за последние 20 лет. Этот шаг был предпринят из-за продолжающихся угроз безопасности, связанных с принтерами. Недавний отчет от Sharp показал, что риски, связанные с безопасностью принтеров, по-прежнему остаются актуальными, и почти каждая пятая компания столкнулась с нарушением безопасности, связанным с принтерами.
Система печати Windows давно привлекает внимание хакеров. Проблема заключается в том, что Spooler (компонент Windows, управляющий задачами печати) требует высоких привилегий и загружает код из сети. Баги в печати были связаны с такими серьезными атаками, как Stuxnet и Print Nightmare, и составляют 9% всех случаев сбоев, связанных с Windows.
Есть также проблемы с совместимостью драйверов, так как некоторые драйверы больше не совместимы с более новыми мерами безопасности, такими как Control Flow Guard (CFG), Control Flow Enforcement Technology (CET), Arbitrary Code Guard (ACG) и другими.
Microsoft попыталась улучшить ситуацию, рекомендуя пользователям переходить на протокол интернет-печати (IPP) и закрывая поддержку устаревших драйверов принтеров Windows v3 и v4.
Windows Protected Print Mode: Новые улучшения Windows Protected Print Mode (WPP) делает еще больший шаг вперед, блокируя сторонние драйверы и предоставляя новые средства защиты. Анализ предыдущих случаев, связанных с печатью в Windows, показал, что WPP снижает риск уязвимостей на более чем половину.
С помощью WPP привилегии службы Print Spooler были ограничены, чтобы уменьшить уязвимость системы к атакам. Это сделано через создание нового процесса Spooler Worker с ограниченным токеном, который убирает множество привилегий, а также перестает работать от имени SYSTEM IL.
Помимо этого, WPP предоставляет ряд дополнительных мер безопасности, таких как аппаратная митигация Control Flow Enforcement Technology, блокировка создания дочерних процессов и предотвращение атак на перенаправление путей. Также он предотвращает динамическую генерацию кода внутри процесса с помощью Arbitrary Code Guard.
WPP также предотвращает установку сторонних драйверов через Point and Print и информирует пользователей о шифровании, стимулируя включение шифрования, где это возможно.
