Microsoft ha presentado el Modo de Impresión Protegida de Windows (WPP), marcando un avance significativo en la seguridad del sistema de impresión de Windows.
WPP se apoya en la pila de impresión IPP existente, limitando el soporte solo a impresoras certificadas por Mopria y desactivando la capacidad de cargar controladores de terceros.
Estas medidas permiten mejoras sustanciales en la seguridad de la impresión en Windows que de otra manera no serían posibles, según Johnathan Norman, gerente principal de ingeniería de investigación y seguridad ofensiva de Microsoft (MORSE).
Errores de impresión han desempeñado un papel crítico en incidentes pasados como Stuxnet y Print Nightmare, representando el 9% de todos los casos de Windows informados al MSRC.
El equipo de investigación y seguridad ofensiva de Microsoft (MORSE) evaluó los casos del MSRC relacionados con la impresión de Windows y encontró que el Modo de Impresión Protegida de Windows mitiga más de la mitad de estas vulnerabilidades.
Es esencial destacar que, al implementarse y habilitarse por defecto en todos los sistemas Windows, Microsoft modificará el servicio de Cola de Impresión incorporado, lanzándolo como un servicio restringido en lugar de ejecutarlo como SYSTEM.
Esta modificación reducirá considerablemente su acceso a recursos y privilegios, disminuyendo la atracción del proceso de Cola de Impresión como un objetivo potencial de explotación.
Además, Microsoft eliminará diversos vectores de ataque previamente explotados por actores malintencionados que apuntaban a usuarios de Windows, suprimiendo varios puntos de conexión RPC y componentes heredados que fueron objeto de ataques en el pasado, según Norman.
Detalle de cómo trabaja el nuevo WPP (Modo de Impresión Protegida)
Adicionalmente, el Modo de Impresión Protegida incorporará mitigaciones binarias diseñadas para dificultar la explotación, tales como:
- Tecnología de Control de Flujo de Ejecución (CFG, CET): Una mitigación basada en hardware que contribuye a contrarrestar ataques orientados a la devolución de programación (ROP).
- Desactivación de Creación de Procesos Hijos: Se bloqueará la creación de procesos hijos, impidiendo que los atacantes generen nuevos procesos en caso de ejecutar código en el Spooler.
- Protección de Redirección (Redirection Guard): Evita muchos ataques comunes de redirección de rutas, que a menudo se centran en el Print Spooler.
- Protección de Código Arbitrario (Arbitrary Code Guard): Previene la generación dinámica de código dentro de un proceso.
Una vez activado el modo WPP, las operaciones normales del spooler se canalizarán a través de un nuevo Spooler que integra diversas mejoras de WPP, tales como:
- Configuración de impresión limitada/segura: restringe las oportunidades de los atacantes para aprovechar el spooler y modificar archivos en el sistema.
- Bloqueo de módulos: se modificarán las API que permiten la carga de módulos para evitar la carga de nuevos módulos.
- Representación XPS por usuario: la representación XPS se ejecutará como el usuario en lugar de SYSTEM en WPP para minimizar el impacto de muchas vulnerabilidades de corrupción de memoria.
- Mejora en la seguridad del transporte: WPP informará claramente a los usuarios cuando su tráfico esté cifrado e incentivará la habilitación del cifrado siempre que sea posible.
“Nuestro objetivo es ofrecer en última instancia la configuración predeterminada más segura y proporcionar la flexibilidad para regresar al método de impresión heredado (basado en controladores) en cualquier momento si los usuarios encuentran que su impresora no es compatible“, declaró Norman.
“WPP está actualmente disponible en las versiones para Insider, y esperamos que los usuarios nos ayuden a probar la función proporcionando comentarios. Pueden habilitar la función siguiendo las instrucciones proporcionadas aquí.“
Microsoft también garantiza que estas mejoras de seguridad no afectarán a los clientes con impresoras más antiguas, ya que podrán habilitar el soporte heredado.
Bloqueo de controladores de impresoras de terceros en Windows Update
Este cambio se produce después del anuncio de Microsoft de que, en los próximos cuatro años, Windows Update dejará de proporcionar controladores de impresoras de terceros, como parte de una estrategia planificada y significativa en la gestión de controladores de impresoras.
A partir de 2025, Microsoft bloqueará la inclusión de controladores de impresoras de proveedores, lo que significa que no se ofrecerán nuevos controladores de impresoras de terceros a través de Windows Update.
En 2026, se tiene previsto ajustar el sistema de clasificación de controladores de impresoras, priorizando los controladores de impresoras de la clase Windows Internet Printing Protocol (IPP) internos.
Además, planea cesar la distribución de actualizaciones de controladores de impresoras de terceros a través de Windows Update en 2027, a menos que incluyan correcciones de seguridad.
No obstante, los usuarios seguirán teniendo la opción de instalar controladores de impresoras proporcionados por los proveedores mediante sus sitios web, utilizando paquetes de instalación independientes.
Microsoft también continuará parcheando controladores de impresoras más antiguos siempre que las versiones de Windows asociadas estén dentro de sus ciclos de vida de soporte.
“Como se puede observar, alejarse de la impresión basada en controladores ofrece numerosos beneficios a los usuarios y permite que Microsoft implemente mejoras significativas en su sistema de impresión. El sistema existente, basado en controladores y establecido hace décadas, depende de múltiples proveedores y de la eficacia de Microsoft en su papel, lo que ha demostrado ser demasiado lento para hacer frente a las amenazas modernas”, señaló Johnathan Norman, Gerente Principal de Ingeniería de Investigación y Seguridad Ofensiva de Microsoft (MORSE).
“Esta es una versión temprana; muchas funciones están incompletas y son susceptibles a cambios según los comentarios. Por ejemplo, carecemos actualmente de una interfaz de usuario y muchas mejoras de seguridad aún están en proceso. Con el tiempo, estas mejoras seguirán implementándose en versiones preliminares a medida que trabajamos para perfeccionar WPP”.
