Microsoft, Windows yazdırma sistemine önemli güvenlik geliştirmeleri getiren yeni bir Windows Korumalı Yazdırma Modu’nu (WPP) duyurdu.
“WPP, yalnızca Mopria sertifikalı yazıcıların desteklendiği mevcut IPP yazdırma yığınını temel alıyor ve üçüncü taraf sürücüleri yükleme yeteneğini devre dışı bırakıyor. Bunu yaparak, Windows’ta yazdırma güvenliğinde başka türlü gerçekleşemeyecek anlamlı iyileştirmeler yapabiliriz” dedi. Johnathan Norman, Microsoft Saldırı Araştırma ve Güvenlik Mühendisliği (MORSE) baş mühendis yöneticisi.
“Baskı hataları Stuxnet ve Print Nightmare’de rol oynadı ve MSRC’ye bildirilen tüm Windows vakalarının %9’unu oluşturdu.”
Microsoft Saldırı Araştırması ve Güvenlik Mühendisliği (MORSE) ekibi, Windows Yazdırma ile bağlantılı tüm MSRC vakalarını analiz etti ve “Windows Korumalı Yazdırma Modunun bu güvenlik açıklarının yarısından fazlasını azalttığını buldu.”
Özellikle, WPP tüm Windows sistemlerinde kullanıma sunulduğunda ve varsayılan olarak etkinleştirildiğinde Redmond, yerleşik Yazdırma Biriktiricisi hizmetini SİSTEM olarak çalıştırmak yerine sınırlı bir hizmet olarak başlatacak.
Bu, kaynaklara ve ayrıcalıklara erişimi büyük ölçüde azaltacak ve Spooler sürecinin potansiyel bir istismar hedefi olarak çekiciliğini azaltacaktır.
Ayrıca Microsoft, daha önce Windows kullanıcılarını hedef alan kötü niyetli aktörler tarafından kullanılan çeşitli saldırı vektörlerini de ortadan kaldıracak. Rapora göre, geçmişte hedeflenen çok sayıda RPC uç noktası ve çeşitli eski bileşenler kaldırılacak. Normandiya.
Ek olarak WPP, kullanım zorluğunu artırmak için aşağıdakiler dahil ikili azaltımlarla birlikte gelecek:
- Kontrol Akışı Uygulama Teknolojisi (CFG, CET): Geri dönüş odaklı programlama (ROP) tabanlı saldırıların azaltılmasına yardımcı olan donanım tabanlı azaltma.
- Alt Süreç Oluşturma Devre Dışı: Alt süreç oluşturma engellenecek. Bu, saldırganların Biriktiricide kod yürütmesi durumunda yeni bir işlem oluşturmasını engeller.
- Yönlendirme Koruması: Genellikle Yazdırma Biriktiricisini hedef alan birçok yaygın yol yeniden yönlendirme saldırısını önler.
- Keyfi Kod Koruması: Bir işlem içerisinde dinamik kod oluşturulmasını engeller.
WPP modu etkinleştirildiğinde normal biriktirici işlemleri, aşağıdakiler gibi birden fazla WPP iyileştirmesini bir araya getiren yeni bir Biriktiriciden geçer:
- Sınırlı/Güvenli Yazdırma Yapılandırması: saldırganların sistemdeki dosyaları değiştirmek için Biriktiriciden yararlanma fırsatını sınırlar.
- Modül Engelleme: Modül yüklemeye izin veren API’ler, yeni modüllerin yüklenmesini önleyecek şekilde değiştirilecektir.
- Kullanıcı Başına XPS Oluşturma: XPS oluşturma, birçok bellek bozulması güvenlik açığının etkisini en aza indirmek için WPP’de SİSTEM yerine kullanıcı olarak çalışacaktır.
- Daha İyi Aktarım Güvenliği: WPP, kullanıcılara trafiklerinin ne zaman şifrelendiğini açıklayacak ve onları mümkün olduğunda şifrelemeyi etkinleştirmeye teşvik edecektir.
Norman, “Amacımız nihai olarak en güvenli varsayılan yapılandırmayı sağlamak ve kullanıcıların yazıcılarının uyumlu olmadığını düşünmeleri durumunda istedikleri zaman eski (sürücü tabanlı) yazdırmaya geri dönme esnekliğini sağlamaktır” dedi.
“WPP artık Insider sürümlerinde ve özelliği deneyerek ve geri bildirimde bulunarak test etmemize yardımcı olacağınızı umuyoruz. Kullanıcılar, burada verilen talimatları izleyerek özelliği etkinleştirebilirler.”
Microsoft ayrıca eski desteği etkinleştirebilecekleri için bu güvenlik iyileştirmelerinin eski yazıcılara sahip müşterileri etkilememesini de sağladı.
Windows Update’te engellenen üçüncü taraf yazıcı sürücüleri
Bu, Redmond’un, yazıcı sürücüsü stratejisindeki kademeli ve önemli değişimin bir parçası olarak Windows Update’in önümüzdeki dört yıl içinde üçüncü taraf yazıcı sürücüsü dağıtımını sonunda durduracağını duyurmasının hemen ardından geldi.
Microsoft, 2025’ten itibaren yazıcı satıcılarının sürücü gönderimlerini engelleyecek, dolayısıyla Windows Update aracılığıyla yeni üçüncü taraf yazıcı sürücüleri sunulmayacaktır.
Redmond, 2026 yılına kadar şirket içi Windows Internet Yazdırma Protokolü (IPP) Sınıfı sürücülerine öncelik vererek yazıcı sürücüsü sıralama sistemini ayarlamayı planlıyor. Ayrıca, güvenlik düzeltmeleri sağlamadığı sürece 2027’de Windows Update aracılığıyla üçüncü taraf yazıcı sürücüsü güncellemelerinin dağıtımını durduracak.
Ancak kullanıcılar yine de satıcıların web siteleri aracılığıyla sağladığı yazıcı sürücülerini bağımsız kurulum paketleri olarak yükleyebilecekler. Microsoft ayrıca, ilgili Windows sürümleri Destek Yaşam Döngüleri dahilinde olduğu sürece eski yazıcı sürücülerine yama uygulamaya devam etmeyi planlıyor.
“Gördüğünüz gibi, sürücü tabanlı yazdırmadan uzaklaşmak kullanıcılara birçok avantaj sunuyor ve Microsoft’un yazdırma sistemimizde birçok anlamlı iyileştirme yapmasına olanak tanıyor. Onlarca yıl önce kurulan mevcut sürücü tabanlı sistem, birçok üçüncü tarafa ve Microsoft’un tamamına bağlı. Norman, “Modern tehditler için çok yavaş olduğu kanıtlanmış olan rollerini oynuyorlar” dedi.
“Bu erken bir sürüm; pek çok özellik eksik ve geri bildirimlere göre değişebilir. Örneğin, bugün bir kullanıcı arayüzümüz yok ve birçok güvenlik iyileştirmesi hâlâ devam ediyor. Zamanla bu iyileştirmeler Insider Builds’a sunulmaya devam edecek. WPP’yi geliştirmek için çalışıyoruz.”