16 dic 2023

Microsoft presenta un modo de impresión protegido en Windows (WPP)

Microsoft anunció un nuevo Windows Protected Print Mode (WPP), que introduce importantes mejoras de seguridad en el sistema de impresión de Windows.

"WPP se basa en la pila de impresión IPP existente, donde solo se admiten impresoras certificadas por Mopria, y desactiva la capacidad de cargar controladores de terceros. Al hacer esto, podemos realizar mejoras significativas en la seguridad de impresión en Windows que de otro modo no podrían ocurrir", dijo Johnathan Norman, director de Microsoft Offensive Research & Security Engineering (MORSE).

"Los errores de impresión desempeñaron un papel en Stuxnet y Print Nightmare, y representan el 9% de todos los casos de Windows reportados a MSRC".

El equipo de MORSE analizó todos los casos de MSRC vinculados a Windows Print y "descubrió que el modo de impresión protegida de Windows mitigó más de la mitad de esas vulnerabilidades".

En particular, una vez que WPP se implemente y se habilite de forma predeterminada en todos los sistemas Windows, Redmond dejará de ejecutar el servicio Print Spooler integrado como SYSTEM y, en cambio, lo iniciará como un servicio restringido. Esto reducirá drásticamente su acceso a recursos y privilegios, mitigando el atractivo del proceso Spooler como objetivo potencial de explotación.

Además, Microsoft eliminará varios vectores de ataque previamente explotados por actores maliciosos dirigidos a usuarios de Windows. Según Norman, se eliminarán numerosos puntos finales RPC y varios componentes heredados atacados en el pasado.

Además, WPP también incluirá mitigaciones binarias para aumentar la dificultad de explotación, que incluyen:

  • Control Flow Enforcement Technology (CFG, CET): mitigación basada en hardware que ayuda a mitigar los ataques basados en programación orientada al retorno (ROP).
  • Creación de procesos secundarios deshabilitada: se bloqueará la creación de procesos secundarios. Esto evita que los atacantes generen un nuevo proceso si obtienen la ejecución de código en Spooler.
  • Protección de redirección: evita muchos ataques de redirección de rutas comunes, que a menudo tienen como objetivo el administrador de trabajos de impresión.
  • Guardia de código arbitrario: evita la generación de código dinámico dentro de un proceso.

Una vez que se habilita el modo WPP, las operaciones normales del Spooler pasarán por un nuevo Spooler que incluye múltiples mejoras de WPP, como:

  • Configuración de impresión limitada/segura: limita la oportunidad de los atacantes de aprovechar el Spooler para modificar archivos en el sistema.
  • Bloqueo de módulos: las API que permiten la carga de módulos se modificarán para evitar la carga de nuevos módulos.
  • Representación XPS por usuario: la representación XPS se ejecutará como usuario en lugar de SYSTEM en WPP para minimizar el impacto de muchas vulnerabilidades de corrupción de memoria.
  • Mejor seguridad en el transporte: WPP dejará claro a los usuarios cuándo su tráfico está cifrado y los alentará a habilitar el cifrado cuando sea posible.

"Nuestro objetivo es, en última instancia, proporcionar la configuración predeterminada más segura y brindar la flexibilidad de volver a la impresión heredada (basada en controladores) en cualquier momento, si los usuarios descubren que su impresora no es compatible", afirmó Norman. "WPP se encuentra ahora en versiones Insider y esperamos que nos ayude a probar la función y brindarnos sus comentarios. Los usuarios pueden habilitar la función siguiendo las instrucciones proporcionadas aquí".

Microsoft también se aseguró de que estas mejoras de seguridad no afectaran a los clientes con impresoras más antiguas, ya que podrían habilitar el soporte heredado.

Esto viene inmediatamente después de que Redmond anunciara que Windows Update eventualmente detendrá la entrega de controladores de impresora de terceros durante los próximos cuatro años como parte de un cambio gradual y significativo en su estrategia de controladores de impresora.

A partir de 2025, Microsoft bloqueará los envíos de controladores por parte de proveedores de impresoras, por lo que no habrá nuevos controladores de impresoras de terceros disponibles a través de Windows Update.

Para 2026, Redmond planea ajustar el sistema de clasificación de controladores de impresora, dando prioridad a los controladores internos de clase del Protocolo de impresión de Internet (IPP) de Windows. Además, dejará de distribuir actualizaciones de controladores de impresoras de terceros a través de Windows Update en 2027, a menos que proporcione correcciones de seguridad.

Sin embargo, los usuarios aún podrán instalar los controladores de impresora proporcionados por los proveedores a través de sus sitios web como paquetes de instalación independientes. Microsoft también planea continuar parcheando los controladores de impresoras más antiguos siempre que las versiones de Windows asociadas estén dentro de sus ciclos de vida de soporte.

"Como puede ver, alejarse de la impresión basada en controladores ofrece muchos beneficios a los usuarios y permite a Microsoft realizar muchas mejoras significativas en nuestro sistema de impresión. El sistema basado en controladores existente, establecido hace décadas, depende de muchos terceros y de Microsoft. desempeñando su papel, que ha demostrado ser demasiado lento para las amenazas modernas", afirmó Norman.

Esta es una versión temprana; muchas características están incompletas y sujetas a cambios según los comentarios. Por ejemplo, hoy carecemos de una interfaz de usuario y muchas mejoras de seguridad aún están en progreso. Con el tiempo, estas mejoras continuarán implementándose en Insider Builds.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!