Bu yılın başlarında Windows’ta üçüncü taraf yazıcı sürücülerinin kademeli olarak kaldırıldığını duyurmasının ardından Microsoft, şimdi de Windows Korumalı Yazdırma Modu’nu (WPP) sunarak güvenliği artırmaya yönelik planını açıkladı.
Mevcut Windows yazdırma sistemindeki sorun
Windows Yazdırma Biriktiricisi hizmeti/işleminin kötü amaçlı dosyaları yürütmek için kullanılabilecek yüksek ayrıcalıklara sahip olması nedeniyle, Windows yazdırma sistemi yıllardır saldırganlar için önemli bir hedef olmuştur. Hizmeti etkileyen güvenlik açıkları araştırmacılar ve saldırganlar tarafından düzenli olarak keşfedilmektedir.
“Baskı hataları Stuxnet ve Print Nightmare’de rol oynadı ve rapor edilen tüm Windows vakalarının %9’unu oluşturdu. [the Microsoft Security Response Center]Microsoft’un güvenlik mühendisi Johnathan Norman dikkat çekti.
Eski sürücüler genellikle Control Flow Guard (CFG), Control Flow Enforcement Technology (CET), Arbitrary Code Guard (ACG) ve daha fazlası gibi modern Microsoft’un güvenlik özellikleriyle uyumlu olmadığından sürücü uyumluluğu da bir sorundur.
“Bu korumalar genellikle ‘ya hep ya hiç’ şeklindedir; bu, korumanın etkili olabilmesi için katılan tüm ikili dosyaların uyumlu olacak adımlar atması gerektiği anlamına gelir. Her baskı üreticisi bu sürücüleri güncellemek için gerekli adımları atmadığından, baskı hizmeti şu anda bu modern istismar azaltımlarından yararlanamıyor,” diye açıkladı Norman.
Son olarak, bir sürücüde bir güvenlik açığı keşfedildiğinde Microsoft, sürücüyü güncellemek için üçüncü tarafa bağımlıdır. “Yayıncılar artık mevcut olmadığında veya eski ürünlerin destek dışı olduğunu düşündüğünde, güvenlik açığını gidermenin net bir yolu yok” diye ekledi.
Hedef: Güvenli, sürücüsüz baskı
Şimdilik Windows Insider’larla sınırlı olan Windows Korumalı Yazdırma Modu (WPP), yalnızca Mopria sertifikalı yazıcıları destekler ve üçüncü taraf yazıcı sürücülerini devre dışı bırakır.
Norman, “Kullanıcılar WPP modunu etkinleştirdiğinde normal biriktirici işlemleri, WPP iyileştirmelerini uygulayan yeni bir Biriktiriciye ertelenir” diye açıklıyor.
WPP şunları yapacaktır:
- Saldırganların yazıcı bağlantı noktalarını Dinamik Bağlantı Kitaplıkları (DLL) olarak kötüye kullanmasına ve kötü amaçlı kod yüklemesine olanak tanıyan eski yapılandırmaları ortadan kaldırın
- Saldırganların sistemdeki dosyaları değiştirmek için Biriktiriciyi kullanma olasılığını azaltmak için eski API’leri güncelleyin
- Yeni (muhtemelen kötü amaçlı) modüllerin yüklenmesini önlemek için API’leri değiştirin
- Yalnızca internet yazdırma protokolünün (IPP) yüklenmesi için gereken Microsoft İmzalı ikili dosyaların yüklenmesine izin ver
- Bellek bozulması güvenlik açıklarının etkisini en aza indirmek için XPS oluşturmayı SİSTEM yerine kullanıcı olarak çalıştırın
- Ortak Biriktirici görevlerini kullanıcı olarak çalışan bir işleme taşıyın (SİSTEM yerine)
- Microsoft’un yukarıda belirtilen ikili program azaltmalarını (CFG, CET, ACG, Redirection Guard, vb.) etkinleştirmek için üçüncü taraf ikili dosyaları kaldırın.
- Point and Print’in üçüncü taraf sürücüleri yüklemesini önleyerek saldırganların yazıcı gibi davranması ve kullanıcıları kötü amaçlı sürücüler yüklemeleri için kandırması riskini azaltır
- Yazdırma trafikleri şifrelendiğinde kullanıcıları bilgilendirin ve şifrelenmediğinde şifrelemeyi etkinleştirmeleri konusunda onları teşvik edin
Norman, “Windows’taki Yazdırma Sistemi tarihsel olarak saldırganlar için önemli bir hedef olmuştur ve bu değişiklikler toplam saldırı yüzeyinde önemli azalmalara neden olmaktadır” diyen Norman, bu değişikliklerin gelecekte kullanıcılar için varsayılan hale gelmesini planladıklarını ekledi.
“Artık 3. taraf yazdırma sürücülerinin yüklenmesine gerek yok, yüksek ayrıcalıklı hizmetlere gerek yok ve kullanıcıları korumak için etkin olan güçlü güvenlik açıkları azaltıldı. Yapılacak çok iş var; bu ilk sürüm, attığımız yönde yalnızca bir adım. Ancak kullanıcı güvenliği açısından bunun doğru yön olduğunu düşünüyorum.”