Microsoft introduit un mode d’impression sécurisé pour Windows qui empêche l’installation de pilotes tiers

MADRID, 18 déc. (Portail/EP) –

Microsoft a annoncé un nouveau système d’impression pour Windows 11, qui sera installé par défaut et avec lequel il cherche à offrir plus de sécurité, car il évite l’installation de pilotes tiers afin de réduire les vulnérabilités du système d’impression.

La société américaine a expliqué qu’au cours de l’année écoulée, l’équipe Microsoft Offensive Research & Security Engineering (MORSE) a travaillé pour modernisez le système d’impression du système d’exploitation que vous développez.

Il a rappelé avec cela qu’il avait récemment annoncé la fin du service de pilotes tiers dans Windows, qui ne sera plus distribué via Windows Update en 2025. Cela signifie que les fabricants ne pourront plus distribuer leurs installations d’imprimantes et leurs mises à jour via ce service Microsoft.

L’entreprise a annoncé le lancement du mode d’impression protégé de Windows (WPP), “une nouvelle expérience d’impression moderne et sécurisée”, qui sera activée par défaut dans ce système d’exploitation, selon les qualifications de une déclaration.

Microsoft a reconnu que l’une des principales motivations derrière ce changement était la sécurité, en raison d’attaques très médiatisées telles que Stuxnet et Print Nightmare, qui ont profité d’une vulnérabilité du système d’impression. En fait, ceux-ci représentent 9 % de tous les cas signalés à l’équipe Microsoft Security Response Center (MSRC).

Pour déterminer l’utilité du système WPP, MORSE a analysé l’impact de ces campagnes malveillantes sur le système d’impression Windows, Windows Print, et a découvert que ce nouveau mode d’impression protégé a été capable d’atténuer “plus de la moitié” des échecs dont les agents malveillants profitaient pour diffuser leurs campagnes.

La société a souligné la complexité de l’écosystème d’impression, car elle comprend qu’il repose sur une approche de « responsabilité partagée » entre Microsoft et les développeurs de pilotes tiers pour empêcher les mises à jour d’ajouter des vulnérabilités.

À cet égard, il a cité comme exemple l’attaque Print Nightmare, qui était le résultat d’une erreur de contournement d’autorisation qui permettait à des utilisateurs distants authentifiés d’installer des pilotes d’impression avec la procédure RPC RpcAddPrinterDriver.

Après avoir spécifié un fichier de pilote, celui-ci a été chargé en tant que bibliothèque de liens dynamiques ou DLL et exécuté dans le processus Spooler, accordant aux attaquants de nombreux privilèges système.

Pour Microsoft, corriger cette faille a été “compliqué” car il existe une fonctionnalité appelée Point and Print, qui permet aux utilisateurs de créer une connexion avec une imprimante distante sans fournir de disques et d’autres supports d’installation.

En ce sens, il a souligné que Un défi avec les pilotes d’impression est leur âge et que les mesures les moins récentes sont incompatibles avec les mesures de sécurité modernes. Parmi eux, Control Flow Guard (CFG), Control Flow Enforcement Technology (CET) et Arbitrary Code Guard (ACG), entre autres.

Un autre concept introduit par Microsoft dans la présentation de WPP est l’Internet Printing Protocol (IPP), basé sur HTTP et qui prend en charge de nombreuses méthodes d’authentification pour son utilisation.

La nouveauté se concentre sur WPP étend l’impression IPP existante en désactivant les pilotes d’imprimante tiers, en améliorant la sécurité du processus d’impression et en introduisant de nouvelles atténuations binaires. Parmi eux, la technologie d’application de flux de contrôle (CFG, CET), qui permet d’atténuer les attaques basées sur la programmation orientée retour (ROP).

De même, avec ce système, la création de processus secondaires sera bloquée, ce qui empêchera les attaquants d’en générer un nouveau s’ils parviennent à exécuter le code dans Spooler et avec Redirection Guard, les attaques de redirection de route courantes qui se produisent souvent sont empêchées. Ils ciblent la file d’attente d’impression.

Microsoft a fait remarquer que WPP est actuellement dans les versions Windows Insider destinées aux testeurs et que bon nombre de ses fonctionnalités sont incomplètes et susceptibles d’être modifiées en fonction des commentaires des utilisateurs.