Ключевые выводы
- Диспетчер очереди печати Windows недавно оказался в центре нескольких уязвимостей системы безопасности.
- Особый способ работы Windows Print Spooler упрощает выполнение сложных заданий печати, но не обеспечивает такой безопасности.
- Переработка диспетчера очереди печати и предоставление ему большего контроля может сделать его менее уязвимым, если Microsoft захочет это сделать.
Диспетчер очереди печати Windows в последнее время оказался в центре нескольких уязвимостей безопасности, и, несмотря на усилия Microsoft, проблема не исчезает.
Чуть более чем за месяц Microsoft проверила три уязвимости безопасности, связанные с диспетчером очереди печати Windows, и на данный момент выпустила исправления для двух из них. CVE-2021-34527 (он же «PrintNightmare»), CVE-2021-34481, а теперь и CVE-2021-36958 позволили злоумышленникам предоставить себе полные СИСТЕМНЫЕ привилегии. Отключение диспетчера очереди печати является опцией, но это не позволит вам подключить какие-либо принтеры к вашему компьютеру. Это далеко не идеальное решение.
«Эта проблема постоянно затрагивала серверы и клиенты Windows, от Windows 7 до 10, а также серверы 2019, 2004, 2012, 2008 и 2016», - сказал Феликс Маберли, эксперт по кибербезопасности в Tiger Supplies, в электронном письме. интервью Lifewire. «Все исправления, сделанные Microsoft, не смогли устранить эту угрозу».
Почему Диспетчер очереди печати?
Спулеры - это то, что в основном заставляет принтеры печатать - они собирают все необходимые данные, отправляют их драйверу печати, после чего драйвер запускает принтер. Версия Microsoft использует интерфейс графического устройства Windows (GDI) вместе с драйвером печати, чтобы сообщать принтеру, что делать, а не приложению. Это упрощает задачи печати для более сложных программ и избавляет приложение от необходимости знать, как работать с конкретными моделями принтеров.
«Хотя техника, используемая диспетчером очереди печати Microsoft, довольно продвинута и позволяет пользователям ставить свои документы в очередь на печать, одновременно выполняя другие задачи на компьютере, использование GDI делает ее менее безопасной», - сказал Питер Балтазар, технический автор контента из MalwareFox в электронном письме: «Поскольку, в отличие от классических спулеров, полный контроль над последовательностью печати не осуществляется приложением спулера».
Похоже, основная проблема с уязвимостью диспетчера очереди печати Windows заключается в том, что отличает его от большинства других диспетчеров очереди печати: зависимость от GDI. Разделение управления между диспетчером очереди печати Windows и GDI, а также предоставление GDI обработки всех данных печати оставляет систему открытой. Microsoft, к ее чести, пытается быть в курсе событий, выпуская несколько обновлений безопасности для уязвимых систем.
«Microsoft выпустила несколько исправлений для решения проблем, - сказал Маберли. «Однако в течение периода ожидания остается вопрос, захотят ли компании и другие лица оставаться уязвимыми, чтобы дать Microsoft время для выпуска этих исправлений».
Может ли Microsoft это исправить?
Microsoft своевременно выпускает обновления для системы безопасности - это хорошо, и похоже, что она справляется с этим относительно быстро по мере обнаружения новых уязвимостей. Однако, когда дело доходит до безопасности системы, ожидания исправления в течение нескольких недель может быть недостаточно. Особенно, когда новые уязвимости продолжают обнаруживаться, пока устраняются уже известные.
«Microsoft должна гарантировать, что мы получим постоянные решения угроз, пока мы ждем, а не исправление, которое вскоре станет уязвимым», - сказал Маберли.
Возможно ли, чтобы Microsoft на данном этапе обезопасила - в той мере, в какой может быть защищена компьютерная программа - диспетчер очереди печати Windows? Может ли он, образно говоря, перекрыть воду и починить трубы вместо того, чтобы пытаться затыкать новые утечки по мере их обнаружения? Учитывая, как часто в прошлом месяце приходилось устанавливать обновления безопасности диспетчера очереди печати, необходимо что-то изменить.
«Microsoft следует изменить дизайн [диспетчера очереди печати] и [тем временем] продолжать предоставлять обновленные исправления для его исправления. На этот раз они должны помнить об аспектах безопасности при использовании GDI», - сказал Балтазар. «…Спулер должен иметь контроль над всеми шагами для успешного завершения задания на печать. Это, вероятно, жестко свяжет последовательность и сделает спулер менее уязвимым для проникновения».