Microsoft anunció un nuevo sistema de impresión para Windows 11, que estará instalado de forma predeterminada y con el que busca ofrecer más seguridad.
A través de este, evita la instalación de controladores de terceros a fin de reducir vulnerabilidades en el sistema de impresión.
La compañía explicó que, en 2022, el equipo de Microsoft Offensive Research & Security Engineering (MORSE) trabajó para modernizar el sistema de impresión del sistema operativo que desarrolla.
Con ello, ha recordado que recientemente anunció el fin del servicio de controladores de terceros en Windows, que dejarán de distribuirse a través de Windows Update en 2025.
Eso significa que los fabricantes ya no podrán distribuir sus instalaciones y actualizaciones de impresoras a través de dicho servicio de Microsoft.
La compañía indicó ahora el lanzamiento del Modo de impresión protegido de Windows(Windows Protected Print Mode, WPP, en inglés), “una experiencia de impresión nueva, moderna y segura”.
La misma estará activada de forma predeterminada en este sistema operativo, según ha matizado en un comunicado.
LA SEGURIDAD COMO MAYOR MOTIVACIÓN
Microsoft reconoció que una de las mayores motivaciones detrás de este cambio es la seguridad.
Esto es por ataques de alto perfil como Stuxnet y Print Nightmare, que se han aprovechado una vulnerabilidad del del sistema de impresión.
De hecho, estas representan el 9 por ciento de todos los casos reportados al equipo de Microsoft Security Response Center (MSRC).
Para determinar la utilidad del sistema WPP, MORSE analizó el impacto de estas campañas maliciosas en el sistema de impresión de Windows, Windows Print.
Tras su análisis, descubrió que este nuevo modo de impresión protegida ha sido capaz de mitigar “más de la mitad” de las fallas que aprovecharon los agentes maliciosos para propagar sus campañas.
La empresa resaltó la complejidad del ecosistema de impresión, ya que entiende que se basa en un enfoque “de responsabilidad compartida”.
Dicho compromiso, indican, involucra a Microsoft y los desarrolladores de los controladores terceros para evitar que las actualizaciones añadan vulnerabilidades.
EL EJEMPLO DE PRINT NIGHTMARE
Al respecto, citó como ejemplo el ataque Print Nightmare, que fue el resultado de un error de omisión de autorización.
Dicho error permitía a usuarios remotos autenticados instalar controladores de impresión con el procedimiento RPC RpcAddPrinterDriver.
Tras especificar un archivo de controlador, este se cargó como una biblioteca de vínculos dinámicos o DLL y se ejecutó en el proceso Spooler.
Así, se otorgó a los atacantes buena parte de los privilegios del sistema.
Para Microsoft, reparar esta falla ha sido “complicado” debido a que existe una característica denominada Point e Print.
Esta permite a los usuarios crear una conexión a una impresora remota sin proporcionar discos y otros medios de instalación.
En este sentido, ha apuntado que un desafío con los controladores de impresión es su antigüedad y que los menos recientes son incompatibles con las mitigaciones de seguridad modernas.
Entre ellas, Control Flow Guard (CFG), Control Flow Enforcement Technology (CET) y Arbitrary Code Guard (ACG), entre otras.
PROTOCOLO DE IMPRESIÓN DE INTERNET (IPP)
Otro de los conceptos introducidos en la persentación de WPP es el de Protocolo de impresión de Internet (IPP), basado en HTTP y que admite muchos métodos de autenticación para su utilización.
La novedad se centra en que WPP amplía la impresión del IPP existente desactivando los controladores de impresoras de terceros.
Dicha cualidad permite mejorar la seguridad del proceso de impresión e introduce mitigaciones binarias nuevas.
Entre ellas, la tecnología de aplicación del flujo de control (CFG, CET), que ayuda a mitigar los ataques basados en Programación Orientada al Retorno (ROP).
Asimismo, con este sistema se bloqueará la creación de procesos secundarios, lo que evita que los atacantes generen uno nuevo si logran ejecutar el código en Spooler.
Por otro lado, y con Redirection Guard, se previenen ataques de redireccionamiento de rutas comunes que a menudo tienen como objetivo la cola de impresión.
Microsoft comentó que WPP hoy está en versiones de Windows Insider para probadores y que muchas de sus funciones están incompletas y sujetas a cambios según los comentarios de los usuarios.
Fuente: EP.
