La compañía estadounidense ha explicado que, a lo largo del año pasado, el equipo de Microsoft Offensive Research & Security Engineering (MORSE) ha estado trabajando para modernizar el sistema de impresión del sistema operativo que desarrolla.
Con ello, ha recordado que recientemente anunció el fin del servicio de controladores de terceros en Windows, que dejarán de distruirse a través de Windows Update en 2025. Eso significa que los fabricantes ya no podrán distribuir sus instalaciones y actualizaciones de impresoras a través de dicho servicio de Microsoft.
La compañía ha anunciado ahora el lanzamiento del Modo de impresión protegido de Windows(Windows Protected Print Mode, WPP, en inglés), «una experiencia de impresión nueva, moderna y segura», que estará activada de forma predeterminada en este sistema operativo, según ha matizado en un comunicado.
Microsoft ha reconocido que una de las mayores motivaciones detrás de este cambio es la seguridad, debido a ataques de alto perfil como Stuxnet y Print Nightmare, que se han aprovechado una vulnerabilidad del del sistema de impresión. De hecho, estas representan el 9 por ciento de todos los casos reportados al equipo de Microsoft Security Response Center (MSRC).
Para determinar la utilidad del sistema WPP, MORSE ha analizado el impacto de estas campañas maliciosas en el sistema de impresión de Windows, Windows Print, y ha descubierto que este nuevo modo de impresión protegida ha sido capaz de mitigar «más de la mitad» de las fallas que aprovecharon los agentes maliciosos para propagar sus campañas.
La empresa ha destacado la complejidad del ecosistema de impresión, ya que entiende que se basa en un enfoque «de responsabilidad compartida» entre Microsoft y los desarrolladores de los dcontroladores terceros para evitar que las actualizaciones añadan vulnerabilidades.
Al respecto, ha citado como ejemplo el ataque Print Nightmare, que fue el resultado de un error de omisión de autorización que permitía a usuarios remotos autenticados instalar controladores de impresión con el procedimiento RPC RpcAddPrinterDriver.
Tras especificar un archivo de controlador, este se cargó como una biblioteca de vínculos dinámicos o DLL y se ejecutó en el proceso Spooler, otorgando a los atacantes buena parte de los privilegios del sistema.
Para Microsoft, reparar esta falla ha sido «complicado» debido a que existe una característica denominada Point e Print, que permite a los usuarios crear una conexión a una impresora remota usin proporcionar discos y otros medios de instalación.
En este sentido, ha apuntado que un desafío con los controladores de impresión es su antiguedad y que los menos recientes son incompatibles con las mitigaciones de seguridad modernas. Entre ellas, Control Flow Guard (CFG), Control Flow Enforcement Technology (CET) y Arbitrary Code Guard (ACG), entre otras.
Otro de los conceptos que ha introducido Microsoft en la persentación de WPP es el de Protocolo de impresión de Internet (IPP), basado en HTTP y que admite muchos métodos de autenticación para su utilización.
La novedad se centra en que WPP amplía la impresión del IPP existente desactivando los controladores de impresoras de terceros, lo que mejora la seguridad del proceso de impresión e introduce mitigaciones binarias nuevas. Entre ellas, la tecnología de aplicación del flujo de control (CFG, CET), que ayuda a mitigar los ataques basados en Programación Orientada al Retorno (ROP).
Asimismo, con este sistema se bloqueará la creación de procesos secundarios, lo que evita que los atacantes generen uno nuevo si logran ejecutar el código en Spooler y con Redirection Guard se previenen ataques de redireccionamiento de rutas comunes que a menudo tienen como objetivo la cola de impresión.
Microsoft ha comentado que WPP actualmente se encuentra en versiones de Windows Insider para probadores y que muchas de sus funciones están incompletas y sujetas a cambios según los comentarios de los usuarios.
Sin comentarios
Para comentar es necesario estar registrado en Menorca - Es diari
De momento no hay comentarios.