Microsoft a annoncé un nouveau mode d’impression protégé Windows (WPP), introduisant des améliorations significatives de la sécurité du système d’impression Windows.
« WPP s’appuie sur la pile d’impression IPP existante où seules les imprimantes certifiées Mopria sont prises en charge et désactive la possibilité de charger des pilotes tiers. En faisant cela, nous pouvons apporter des améliorations significatives à la sécurité de l’impression dans Windows qui autrement ne pourraient pas se produire », a déclaré Johnathan Norman, responsable principal de l’ingénierie de la recherche offensive et de la sécurité de Microsoft (MORSE).
« Les bogues d’impression ont joué un rôle dans Stuxnet et Print Nightmare, et représentent 9% de tous les cas Windows signalés au MSRC. »
L’équipe Microsoft Offensive Research & Security Engineering (MORSE) a analysé tous les cas MSRC liés à Windows Print et « a constaté que le mode d’impression protégé de Windows atténuait plus de la moitié de ces vulnérabilités. »
Notamment, une fois que WPP sera déployé et activé par défaut sur tous les systèmes Windows, Redmond cessera d’exécuter le service de spouleur d’impression intégré en tant que SYSTÈME, mais le lancera plutôt en tant que service restreint.
Cela réduira considérablement son accès aux ressources et aux privilèges, atténuant l’attrait du processus de spouleur en tant que cible potentielle d’exploitation.
De plus, Microsoft supprimera plusieurs vecteurs d’attaque précédemment exploités par des acteurs malveillants ciblant les utilisateurs de Windows. De nombreux points de terminaison RPC et divers composants hérités ciblés dans le passé seront supprimés, selon Norman.
De plus, WPP proposera également des atténuations binaires pour augmenter la difficulté d’exploitation, notamment:
- Technologie d’application du flux de contrôle (CFG, CET): Atténuation basée sur le matériel qui aide à atténuer les attaques basées sur la programmation orientée retour (ROP).
- Création de processus enfant désactivée: La création de processus enfant sera bloquée. Cela empêche les attaquants de générer un nouveau processus s’ils obtiennent l’exécution de code dans le spouleur.
- Protection contre la redirection: Empêche de nombreuses attaques de redirection de chemin courantes, ciblant souvent le spouleur d’impression.
- Garde de code arbitraire: Empêche la génération de code dynamique dans un processus.
Une fois le mode WPP activé, les opérations normales du spouleur passeront par un nouveau spouleur qui regroupe plusieurs améliorations WPP telles que:
- Configuration d’impression limitée / sécurisée: limite la possibilité pour les attaquants d’exploiter le spouleur pour modifier les fichiers sur le système.
- Blocage des modules: Les API qui permettent le chargement des modules seront modifiées pour empêcher le chargement de nouveaux modules.
- Rendu XPS par utilisateur: le rendu XPS s’exécutera en tant qu’utilisateur au lieu du SYSTÈME dans WPP pour minimiser l’impact de nombreuses vulnérabilités de corruption de mémoire
- Meilleure sécurité du transport: WPP indiquera clairement aux utilisateurs quand leur trafic est crypté et les encouragera à activer le cryptage lorsque cela est possible.
« Notre objectif est de fournir à terme la configuration par défaut la plus sécurisée et de fournir la flexibilité nécessaire pour revenir à l’impression héritée (basée sur le pilote) à tout moment, si les utilisateurs constatent que leur imprimante n’est pas compatible », a déclaré Norman.
« WPP est maintenant dans les builds Insider et nous espérons que vous nous aiderez à tester en essayant la fonctionnalité et en nous faisant part de vos commentaires. Les utilisateurs peuvent activer la fonctionnalité en suivant les instructions fournies ici. »
Microsoft a également veillé à ce que ces améliorations de la sécurité n’affectent pas les clients disposant d’imprimantes plus anciennes, car elles pourraient activer la prise en charge héritée.
Pilotes d’imprimante tiers bloqués dans Windows Update
Cela fait suite à l’annonce par Redmond que Windows Update arrêtera éventuellement la livraison de pilotes d’imprimante tiers au cours des quatre prochaines années dans le cadre d’un changement progressif et significatif de sa stratégie de pilotes d’imprimante.
À partir de 2025, Microsoft bloquera les soumissions de pilotes des fournisseurs d’imprimantes, de sorte qu’aucun nouveau pilote d’imprimante tiers ne sera disponible via Windows Update.
D’ici 2026, Redmond prévoit d’ajuster le système de classement des pilotes d’imprimante, en donnant la priorité aux pilotes internes de classe IPP (Windows Internet Printing Protocol). De plus, il cessera de distribuer des mises à jour de pilotes d’imprimante tierces via Windows Update en 2027, à moins qu’il ne fournisse des correctifs de sécurité.
Cependant, les utilisateurs pourront toujours installer les pilotes d’imprimante fournis par les fournisseurs via leurs sites Web en tant que packages d’installation autonomes. Microsoft prévoit également de continuer à corriger les anciens pilotes d’imprimante tant que les versions Windows associées sont dans leur cycle de vie de support.
« Comme vous pouvez le constater, l’abandon de l’impression basée sur les pilotes offre de nombreux avantages aux utilisateurs et permet à Microsoft d’apporter de nombreuses améliorations significatives à notre système d’impression. Le système basé sur les pilotes existant, établi il y a des décennies, dépend de nombreux tiers et de Microsoft qui jouent tous leur rôle, ce qui s’est avéré trop lent pour les menaces modernes », a déclaré Norman.
« Il s’agit d’une version anticipée; de nombreuses fonctionnalités sont incomplètes et sujettes à modification en fonction des commentaires. Par exemple, aujourd’hui, il nous manque une interface utilisateur et de nombreuses améliorations de sécurité sont toujours en cours. Au fil du temps, ces améliorations continueront d’être déployées sur les versions internes à mesure que nous travaillons à l’amélioration de WPP. »