Microsoft veut sécuriser l’impression sous Windows avec « Windows Protected Print Mode »
Microsoft a dévoilé un nouveau système d'impression plus sécurisé pour son système d'exploitation Windows : "Windows Protected Print Mode". Faisons le point sur cette annonce !
Le service Spouleur d'impression de Windows est régulièrement impacté par des vulnérabilités, et d'ailleurs en 2021, la faille de sécurité baptisée PrintNightmare avait fait beaucoup parler d'elle... C'est l'une des raisons pour lesquelles Microsoft a pris la décision de travailler sur un nouveau système d'impression plus sécurisé pour Windows. "Les bugs d'impression ont joué un rôle dans Stuxnet et Print Nightmare, et représentent 9% de tous les cas de Windows signalés au MSRC.", peut-on lire sur le site de Microsoft.
Windows Protected Print Mode (WPP)
L'équipe MORSE (Offensive Research & Security Engineering) de Microsoft a analysé tous les cas remontés au MSRC liés à la fonction d'impression de Windows. Résultat, le nouveau mode d'impression Windows Protected Print Mode permet de protéger l'utilisateur de plus de la moitié des vulnérabilités impliquées dans ces incidents de sécurité. WPP est déjà présent dans les dernières builds de Windows, afin qu'il puisse être testé.
Ainsi, Windows Protected Print Mode intègre plusieurs mesures de sécurité :
- Le service d'impression ne s'exécutera plus en tant que SYSTEM, mais avec un compte de service dédié ayant des permissions restreintes. Ceci est très important, car le service d'impression deviendra moins "attractif" d'un point de vue d'un attaquant.
- Un port d'imprimante ne pourra plus être détourné pour charger une DLL malveillante : "De nombreuses API anciennes ont été mises à jour pour limiter la configuration à des valeurs qui n'ont de sens que dans le cadre de l'utilisation d'IPP. Cela limitera les possibilités pour les attaquants d'utiliser le Spooler pour modifier des fichiers sur le système."
- Le rendu XPS (XPS rendering) sera exécuté en tant qu'utilisateur au lieu du compte SYSTEM. Ceci va également permettre de minimiser l'impact d'une éventuelle faille de sécurité.
- WPP sera capable d'indiquer clairement à l'utilisateur si le trafic entre l'appareil Windows et l'imprimante est chiffré ou non. "La WPP indiquera clairement aux utilisateurs quand leur trafic est chiffré et, dans la mesure du possible, les encouragera à activer le chiffrement des flux".
- Le blocage des pilotes et des binaires tiers : "WPP s'appuie sur la pile d'impression IPP existante, où seules les imprimantes certifiées Mopria sont prises en charge, et désactive la possibilité de charger des pilotes tiers."
Ce qui va permettre à Microsoft d'activer des mesures de protection supplémentaires pour protéger les binaires :
- Technologie d'application du flux de contrôle (CFG, CET) - Atténuation matérielle qui permet de limiter les attaques basées sur la technique Return Oriented Programming (ROP).
- Désactivation de la création de processus enfant - La création de processus enfant est bloquée. Cela empêche les attaquants de créer un nouveau processus s'ils parviennent à faire exécuter du code dans le Spouleur d'impression.
- Redirection Guard - empêche de nombreuses attaques de type "path redirection" qui ciblent souvent le spouleur d'impression.
- Arbitrary Code Guard - empêche la génération de code dynamique au sein d'un processus.
Cette décision fait suite à une précédente annonce de l'entreprise américaine afin d'arrêter la diffusion des pilotes d'impression tiers via Windows Update. Il s'agit d'un plan sur plusieurs années. À partir de 2025, aucun nouveau pilote d'imprimante ne sera publié dans Windows Update (mais les pilotes existants pourront continuer à être mis à jour). Nous en avions parlé dans cet article :
