Microsoft, Windows yazdırma sistemine önemli güvenlik geliştirmeleri getiren yeni bir Windows Korumalı Yazdırma Modu’nu (WPP) [Windows Protected Print Mode] duyurmuştur.
Microsoft Saldırı Araştırma ve Güvenlik Mühendisliği (MORSE) baş mühendis müdürü Johnathan Norman; “WPP, Mopria sertifikalı yazıcıların desteklendiği mevcut IPP yazdırma yığınını temel alır ve üçüncü taraf sürücülerin yüklenme özelliğini devre dışı bırakır. Bu sayede, Windows’taki yazdırma güvenliğinde önemli iyileştirmeler yapabiliriz dedi
Microsoft’un MORSE ekibi, Windows Yazdırma ile bağlantılı tüm MSRC vakalarını analiz etti ve “Windows Korumalı Yazdırma Modu’nun bu güvenlik açıklarının yarısından fazlasını azalttığını” buldu.
WPP’nin tüm Windows sistemlerinde kullanıma sunulması ve varsayılan olarak etkinleştirilmesi durumunda, Windows’un yerleşik Yazdırma Biriktiricisi hizmeti, SİSTEM olarak çalıştırmak yerine sınırlı bir hizmet olarak başlatılacak. Bu, kaynaklara ve ayrıcalıklara erişimi büyük ölçüde azaltacak ve Spooler sürecinin potansiyel bir istismar hedefi olarak çekiciliğini azaltacaktır.
WPP özellikleri arasında;
- Kontrol Akışı Uygulama Teknolojisi (CFG, CET): Donanım tabanlı azaltma, geri dönüş odaklı programlama (ROP) tabanlı saldırıları azaltmaya yardımcı olur.
- Alt Süreç Oluşturma Devre Dışı: Alt süreç oluşturma engellenir, böylece saldırganlar Biriktirici’de kod çalıştırmak için yeni bir işlem başlatamaz.
- Yönlendirme Koruması: Yazdırma Biriktiricisini hedef alan yaygın yol yeniden yönlendirme saldırılarını genellikle engeller.
- Keyfi Kod Koruması: İşlem içinde dinamik kod oluşturulmasını engeller.
WPP modu etkinleştirildiğinde, normal biriktirici işlemleri yeni bir Biriktiriciye geçer ve şunları içeren birden fazla WPP iyileştirmesini bir araya getirir:
- Sınırlı/Güvenli Yazdırma Yapılandırması: Sistem dosyalarını değiştirmeye çalışan saldırganların biriktiriciden yararlanma imkanını sınırlar.
- Modül Engelleme: Modül yükleme API’leri, yeni modüllerin yüklenmesini engelleyecek şekilde değiştirilir.
- Kullanıcı Başına XPS İşleme: XPS işleme, WPP’de SİSTEM yerine kullanıcı olarak çalışarak bellek bozulması güvenlik açığının etkisini azaltır.
- Daha İyi Aktarım Güvenliği: WPP, kullanıcılara trafiklerinin ne zaman şifrelendiğini açıklar ve mümkün olduğunda şifrelemeyi etkinleştirmelerini teşvik eder.
Norman, “Amacımız, en güvenli varsayılan yapılandırmayı sağlamak ve kullanıcıların yazıcılarının uyumlu olmadığını düşündüklerinde eski (sürücü tabanlı) yazdırmaya geri dönebilme esnekliğini sağlamaktır” dedi.
Johnathan Norman ayrıca, Sürücü tabanlı yazdırmadan uzaklaşmak, kullanıcılar için birçok avantaj sunuyor ve Microsoft’un yazdırma sistemimizde birçok anlamlı iyileştirmeyi yapmasına olanak tanıyor. Mevcut sürücü tabanlı sistem, birçok üçüncü tarafın ve Microsoft’un kendi rollerini oynamasına bağlı ve bu, modern tehditler için çok yavaş olduğu kanıtlandı, dedi.
Üçüncü taraf yazıcı sürücüleri Windows Update’te engellenecek
Microsoft, 2025 yılından itibaren yazıcı satıcılarının sürücü gönderimini engelleyecek ve böylece Windows Update aracılığıyla yeni üçüncü taraf yazıcı sürücüleri sunulmayacak.
Redmond, 2026 yılına kadar yazıcı sürücüsü sıralama sistemini şirket içi Windows İnternet Yazdırma Protokolü (IPP) Sınıfı sürücülere öncelik verecek şekilde ayarlamayı planlıyor. Ayrıca, güvenlik düzeltmeleri sağlamadığı sürece üçüncü taraf yazıcı sürücüsü güncellemelerini Windows Update aracılığıyla dağıtmayı 2027 yılında durduracak.
Ancak kullanıcılar, satıcılar tarafından sağlanan yazıcı sürücülerini web siteleri üzerinden bağımsız kurulum paketleri olarak yüklemeye devam edebilecekler. Microsoft ayrıca, ilgili Windows sürümleri Destek Yaşam Döngüleri içinde olduğu sürece eski yazıcı sürücülerine yama uygulamaya devam etmeyi planlıyor.
Normal açıklamasını ise;
Gördüğünüz gibi, sürücü tabanlı yazdırma sisteminden uzaklaşmak kullanıcılara birçok fayda sağlıyor ve Microsoft’un yazdırma sistemimizde birçok anlamlı iyileştirme yapmasına olanak tanıyor. Onlarca yıl önce kurulan mevcut sürücü tabanlı sistem, birçok üçüncü tarafa ve Microsoft’un hepsinin rolünü oynamasına bağlıdır ve bu da modern tehditler için çok yavaş olduğunu kanıtlamıştır.
Bu erken bir sürüm; birçok özellik henüz tamamlanmadı ve geri bildirimlere göre değişebilir. Örneğin, bugün bir kullanıcı arayüzümüz yok ve birçok güvenlik iyileştirmesi hala devam ediyor. WPP’yi iyileştirmek için çalıştıkça bu iyileştirmeler zaman içinde Insider Builds’e eklenmeye devam edecek. şeklinde sonlandırdı.