Microsoft ha annunciato il lancio del nuovo Windows Protected Print Mode (WPP), introducendo notevoli miglioramenti alla sicurezza del sistema di stampa di Windows.
Basato sullo stack di stampa IPP esistente, il WPP supporterà solo stampanti certificate Mopria e disabiliterà l'uso di driver di terze parti. Questa mossa mira a migliorare in modo sostanziale la sicurezza della stampa in Windows, come sottolineato da Johnathan Norman, manager principale di Microsoft Offensive Research & Security Engineering (MORSE).
I bug legati alla stampa, con un ruolo rilevante in casi come Stuxnet e Print Nightmare, rappresentano il 9% dei problemi segnalati a MSRC su Windows.
Il team MORSE ha individuato che il Windows Protected Print Mode ha mitigato oltre la metà di queste vulnerabilità associate alla stampa in Windows, dopo un'analisi dei casi collegati a Windows Print.
Una volta abilitato per impostazione predefinita su tutti i sistemi Windows, il WPP permetterà a Redmond di eseguire il servizio di Spooler di stampa integrato come servizio limitato invece che come SYSTEM, riducendo notevolmente l'accesso alle risorse e i privilegi. Questo dovrebbe ridurre l'interesse per il processo Spooler come possibile bersaglio di attacchi.
Inoltre, Microsoft ha annunciato la rimozione di molti vettori di attacco precedentemente sfruttati da attori malevoli, come endpoint RPC e vari componenti legacy.
Il WPP sarà accompagnato da varie soluzioni di mitigazione binaria per aumentare la difficoltà di sfruttamento, tra cui tecnologie come Control Flow Enforcement (CFG, CET) e Redirection Guard.
Una volta attivato, il WPP consentirà al nuovo Spooler di gestire operazioni migliorate come configurazioni di stampa limitate/sicure e rendering XPS per utente per ridurre la vulnerabilità a sfruttamenti.
Microsoft ha assicurato che queste migliorie non impatteranno i possessori di stampanti più vecchie, dato che sarà possibile attivare il supporto legacy.
Parallelamente, Microsoft ha annunciato che, nel corso di quattro anni, bloccherà gradualmente la distribuzione di driver di stampanti di terze parti attraverso Windows Update, orientandosi verso driver di stampa in-house basati su Windows Internet Printing Protocol (IPP) Class.
Nonostante questi progressi, Microsoft ha riconosciuto che questo è solo l'inizio e che sono in corso ulteriori sviluppi e miglioramenti, inclusa la mancanza attuale di un'interfaccia utente per il WPP. L'azienda invita gli utenti a testare la funzionalità nelle versioni Insider e a fornire feedback.