Microsoft a annoncé un nouveau mode d'impression protégé Windows (WPP), introduisant des améliorations de sécurité significatives au système d'impression Windows.
« WPP s'appuie sur la pile d'impression IPP existante, dans laquelle seules les imprimantes certifiées Mopria sont prises en charge, et désactive la possibilité de charger des pilotes tiers. Ce faisant, nous pouvons apporter des améliorations significatives à la sécurité d'impression sous Windows, ce qui ne pourrait pas se produire autrement » dit Johnathan Norman, directeur ingénieur principal de Microsoft Offensive Research & Security Engineering (MORSE).
« Les bogues d'impression ont joué un rôle dans Stuxnet et Print Nightmare et représentent 9 % de tous les cas Windows signalés au MSRC. »
L'équipe Microsoft Offensive Research & Security Engineering (MORSE) a analysé tous les cas MSRC liés à Windows Print et « a découvert que le mode d'impression protégé de Windows atténuait plus de la moitié de ces vulnérabilités ».
Notamment, une fois que WPP sera déployé et activé par défaut sur tous les systèmes Windows, Redmond cessera d'exécuter le service Print Spooler intégré en tant que SYSTEM, mais le lancera plutôt en tant que service restreint.
Cela réduira considérablement son accès aux ressources et aux privilèges, atténuant ainsi l’attrait du processus Spooler en tant que cible potentielle d’exploitation.
De plus, Microsoft supprimera plusieurs vecteurs d'attaque précédemment exploités par des acteurs malveillants ciblant les utilisateurs de Windows. De nombreux points de terminaison RPC et divers composants hérités ciblés dans le passé seront supprimés, selon normand.
De plus, WPP sera également accompagné d'atténuations binaires pour augmenter la difficulté d'exploitation, notamment :
- Technologie d'application des flux de contrôle (CFG, CET) : Atténuation basée sur le matériel qui permet d'atténuer les attaques basées sur la programmation orientée retour (ROP).
- Création de processus enfant désactivée : la création de processus enfant sera bloquée. Cela empêche les attaquants de générer un nouveau processus s'ils obtiennent l'exécution de code dans le Spooler.
- Redirection Guard : empêche de nombreuses attaques de redirection de chemin courantes, ciblant souvent le spouleur d'impression.
- Arbitrary Code Guard : empêche la génération de code dynamique au sein d’un processus.
Une fois le mode WPP activé, les opérations normales du spooler passeront par un nouveau spooler qui regroupe plusieurs améliorations WPP telles que :
- Configuration d'impression limitée/sécurisée : limite la possibilité pour les attaquants d'exploiter le spooler pour modifier des fichiers sur le système.
- Blocage de modules : les API qui permettent le chargement de modules seront modifiées pour empêcher le chargement de nouveaux modules.
- Rendu XPS par utilisateur : le rendu XPS s'exécutera en tant qu'utilisateur au lieu de SYSTEM dans WPP afin de minimiser l'impact de nombreuses vulnérabilités de corruption de mémoire.
- Meilleure sécurité des transports : WPP indiquera clairement aux utilisateurs quand leur trafic est crypté et les encouragera à activer le cryptage lorsque cela est possible.
« Notre objectif est de fournir à terme la configuration par défaut la plus sécurisée et d'offrir la flexibilité nécessaire pour revenir à l'impression existante (basée sur un pilote) à tout moment, si les utilisateurs constatent que leur imprimante n'est pas compatible », a déclaré Norman.
« WPP est maintenant dans les versions Insider et nous espérons que vous nous aiderez à tester la fonctionnalité et à fournir vos commentaires. Les utilisateurs peuvent activer la fonctionnalité en suivant les instructions fournies. ici« .
Microsoft a également assuré que ces améliorations de sécurité n'affecteraient pas les clients possédant des imprimantes plus anciennes, car elles pourraient permettre une prise en charge héritée.
Pilotes d'imprimante tiers bloqués dans Windows Update
Cela fait suite à l'annonce par Redmond que Windows Update arrêtera éventuellement la fourniture de pilotes d'imprimante tiers au cours des quatre prochaines années dans le cadre d'un changement progressif et significatif dans sa stratégie de pilotes d'imprimante.
À partir de 2025, Microsoft bloquera les soumissions de pilotes des fournisseurs d'imprimantes, de sorte qu'aucun nouveau pilote d'imprimante tiers ne sera disponible via Windows Update.
D’ici 2026, Redmond prévoit d’ajuster le système de classement des pilotes d’imprimante, en donnant la priorité aux pilotes internes de classe Windows Internet Printing Protocol (IPP). De plus, il cessera de distribuer des mises à jour de pilotes d'imprimante tiers via Windows Update en 2027, à moins qu'il ne fournisse des correctifs de sécurité.
Toutefois, les utilisateurs pourront toujours installer les pilotes d'imprimante fournis par les fournisseurs via leurs sites Web en tant que packages d'installation autonomes. Microsoft prévoit également de continuer à appliquer des correctifs aux anciens pilotes d'imprimante tant que les versions Windows associées sont dans leur cycle de vie de support.
« Comme vous pouvez le constater, l'abandon de l'impression basée sur des pilotes offre de nombreux avantages aux utilisateurs et permet à Microsoft d'apporter de nombreuses améliorations significatives à notre système d'impression. Le système existant basé sur des pilotes, établi il y a des décennies, dépend de nombreux tiers et de Microsoft. jouer leur rôle, qui s'est avéré trop lent face aux menaces modernes », a déclaré Norman.
« Il s'agit d'une première version ; de nombreuses fonctionnalités sont incomplètes et susceptibles d'être modifiées en fonction des commentaires. Par exemple, il nous manque aujourd'hui une interface utilisateur et de nombreuses améliorations de sécurité sont toujours en cours. Au fil du temps, ces améliorations continueront à être déployées dans les versions Insider au fur et à mesure. nous travaillons pour améliorer WPP.