Многие думают, что твои корпоративные принтеры и МФУ — это просто безобидные устройства для печати. Увы, реальность не так проста. За их обыденным интерфейсом скрывается полноценный компьютер с процессором, памятью, операционной системой и сетевыми портами. И этот «компьютер» имеет высокий уровень доверия в сети. Для хакера он — не печатающее устройство, а идеальный троянский конь, припаркованный прямо в сердце ИТ-инфраструктуры.
Драйвер печати — это не просто инструкция для принтера, это код, который выполняется с высокими привилегиями в ядре операционной системы Windows. И если в этот код заложена уязвимость, злоумышленник получает не просто доступ к принтеру, а ключ от всей системы. По данным «Лаборатории Касперского», эксплуатация уязвимостей, в том числе через драйверы, остается одним из основных векторов атак. Только за третий квартал 2025 года число пользователей Windows, столкнувшихся с эксплойтами, выросло. Давайте разберемся, как работает этот хакерский «фокус», и, что важнее, как его предотвратить.
Спулер печати
Процесс начинается с, казалось бы, безобидной технологии — спулинга данных. Когда вы нажимаете «Печать», документ не отправляется сразу на принтер. Сначала он помещается в специальную очередь — спулер (ПО, управляющее процессом печати на компьютере). Эта очередь — временное хранилище на диске сервера печати или рабочей станции.
Проблема в том, что файлы в этой очереди часто не защищены и не зашифрованы. Пока задание ждет своей печати, злоумышленник, имеющий доступ к системе, может:
- Прочитать конфиденциальный документ прямо из файла спулера.
- Подменить задание, внедрив в него вредоносный код.
- Вызвать отказ в обслуживании, завалив спулер тысячами фальшивых заданий.
Но настоящая опасность кроется глубже — в самой службе, управляющей этой очередью, и в драйверах, которые она использует.
От чтения документов к полному контролю: эволюция атак
Путь хакера через принтер обычно состоит из нескольких этапов, и каждый из них становится все опаснее.
1. Разведка и несанкционированный доступ.
Принтер — это сетевое устройство. С помощью простых сканеров вроде Nmap злоумышленник ищет в сети открытые порты 9100 (прямая печать), 515 (LPD) или 631 (IPP). Многие принтеры до сих пор используют стандартные пароли или уязвимые версии протоколов. Как показало недавнее исследование 2025 года, в устройствах некоторых популярных марок были обнаружены критические уязвимости, позволяющие изменять конфигурацию и перенаправлять учетные данные пользователей.
2. Эксплуатация языка управления PJL.
Найденному принтеру можно отправлять команды на языке Printer Job Language (PJL). С помощью PJL хакер может не просто сменить надпись на дисплее на «HACKED», но и:
- Получить служебную информацию об устройстве и сети.
- Перенаправить задание печати или сканирования на свой сервер.
- Инициировать атаку на отказ в обслуживании.
3. Атака через драйвер: ядро уязвимости.
Это самая критическая стадия. Драйвер печати работает в привилегированном режиме ядра ОС. Уязвимость в таком драйвере — это билет в первый класс для хакера.
- PrintNightmare (CVE-2021-34527): печально известная уязвимость, которая позволяла удаленно устанавливать вредоносные драйверы принтера и выполнять произвольный код с правами SYSTEM.
- Метод BYOVD (Bring Your Own Vulnerable Driver): злоумышленники не ищут уязвимости — они приносят свои. Они устанавливают в систему заранее подготовленный, подписанный (иногда скомпрометированным сертификатом) драйвер с известной уязвимостью. Этот драйвер затем используется для отключения средств защиты, удаления файлов или получения полного контроля.
- Латеральное перемещение: взяв под контроль одну машину через драйвер принтера, атакующий использует ее как плацдарм для движения по сети, вплоть до контроллеров домена.
Статистика подтверждает актуальность угрозы. Только в декабрьском патче 2025 года Microsoft устранила 56 уязвимостей, одна из которых (CVE-2025-62221 в драйвере минифильтра) уже активно использовалась в реальных атаках для повышения привилегий до уровня SYSTEM.
Стратегии защиты:
Надеемся, вы уже не воспринимаете принтер как простую периферию. Защита требует комплексного подхода. Вот основа, которую мы в Sympace рекомендуем нашим клиентам:
- Строгая сегментация сети. Вынесите все печатающие устройства в отдельный VLAN. Ограничьте доступ к этому сегменту строгими правилами межсетевого экрана. Запретите принтерам любой исходящий трафик в интернет, кроме как на конкретные серверы обновлений (если это необходимо).
- Беспощадное управление обновлениями. Это касается не только ОС на рабочих станциях и серверах. Регулярно обновляйте микропрограмму (firmware) самих принтеров и МФУ. Устаревшее ПО устройства — одна из главных причин успешных атак.
- Принцип минимальных привилегий. Настройте политику так, чтобы обычные пользователи не могли устанавливать драйверы принтеров. Используйте только подписанные драйверы из официальных источников и запретите установку неподписанных.
- Аудит и мониторинг. Включите детальное логирование всех событий, связанных со службой печати и установкой драйверов. Настройте SIEM-систему на отслеживание аномалий: массовые попытки установки драйверов, подключения к порту 9100 с недоверенных хостов, подозрительные PJL-команды.
- Пересмотр архитектуры. Рассмотрите возможность использования выделенных серверов печати. Отключите службу «Диспетчер печати» (Print Spooler) на критически важных серверах (особенно на контроллерах домена), где она не является жизненно необходимой.
Сталкиваться с подобными сложностями в одиночку — всё равно что пытаться остановить утечку в дамбе одним пальцем. Хаос в ИТ, будь то атака через принтер или другой неожиданный вектор, требует не только экспертизы, но и системного подхода, где каждая деталь — от закупки железа до ежедневной настройки — работает на вашу безопасность и спокойствие.
Как говорится в восточной мудрости, «мудрый воин выбирает поле боя». И лучшая стратегия — не тушить пожары, а не дать им разгореться. Часто компании начинают всерьёз инвестировать в защиту лишь после того, как уже столкнулись с инцидентом или получили требование от регулятора. В этом есть свой резон, но цена такого подхода может быть высокой.
Мы в Sympace считаем, что ИТ-безопасность и надёжность инфраструктуры начинаются не с аварийного вызова специалистов, а с продуманного выбора и грамотной интеграции. Наша роль — быть для вас тем самым мудрецом и помощником, который помогает превратить технический хаос в порядок. Мы берём на себя всё: от подбора и выгодной закупки правильного «железа» и ПО до его тонкой настройки и поддержки. С нами вы получаете не просто оборудование по хорошей цене, а готовое, безопасное и работающее решение, где каждая деталь, включая драйвер печати, находится под контролем. Наша задача — чтобы вы могли сосредоточиться на главном, обретя уверенность, что ваша ИТ-среда — это не поле битвы с угрозами, а крепость, в которой вы можете творить и развивать свой бизнес. Потому что настоящая технология должна служить человеку, а не наоборот 😊
