Keeawayt
- Windows Print Spooler on ollut viime aikoina useiden tietoturva-aukkojen keskipisteessä.
- Windowsin taustatulostuksen erityinen toimintatapa tekee monimutkaisista tulostustöistä yksinkertaisempia, mutta se ei ole yhtä turvallista.
- Tulostustulosteen uudelleensuunnittelu ja sen hallinnan lisääminen voi tehdä siitä vähemmän haavoittuvan, jos Microsoft on halukas tekemään sen.
Windows Print Spooler on ollut viime aikoina useiden tietoturva-aukkojen keskellä, ja Microsoftin ponnisteluista huolimatta ongelma ei ole poistumassa.
Hieman yli kuukauden kuluessa Microsoft on vahvistanut kolme Windowsin tulostustulostuspalvelimeen liittyvää tietoturvahaavoittuvuutta, joista kahdelle on tähän mennessä julkaistu korjaustiedostoja. CVE-2021-34527 (alias "PrintNightmare"), CVE-2021-34481 ja nyt CVE-2021-36958 antoivat haitallisille toimijoille mahdollisuuden antaa itselleen kaikki JÄRJESTELMÄN oikeudet. Taustatulostuksen poistaminen käytöstä on vaihtoehto, mutta tämä estää sinua kytkemästä tulostimia tietokoneeseesi. Se on kaukana ihanteellisesta ratkaisusta.
"Tämä ongelma on jatkuvasti vaikuttanut Windowsin palvelimiin ja asiakkaisiin Windows 7:stä 10:een sekä palvelimiin 2019, 2004, 2012, 2008 ja 2016", sanoi Tiger Suppliesin kyberturvallisuusasiantuntija Felix Maberly sähköpostissa. Lifewiren haastattelu. "Kaikki Microsoftin tekemät korjaustiedostot eivät ole pystyneet sulkemaan tätä uhkaa."
Miksi taustatulostin?
Spoolerit saavat tulostimet yleensä tulostamaan – ne keräävät kaikki tarvittavat tiedot, lähettävät sen tulostinohjaimelle, sitten ohjain saa tulostimen liikkeelle. Microsoftin versio käyttää Windows Graphical Device Interface (GDI) -liitäntää ja tulostinohjainta kertomaan tulostimelle, mitä tehdä, sovelluksen sijaan. Tämä yksinkertaistaa monimutkaisempien ohjelmien tulostustehtäviä ja poistaa sovelluksen tarpeen osata käyttää tiettyjä tulostinmalleja.
"Vaikka Microsoftin Print Spoolerin käyttämä tekniikka on melko edistynyt ja antaa käyttäjille mahdollisuuden asettaa asiakirjansa tulostusjonoon samalla kun he suorittavat muita tehtäviä tietokoneella, GDI:n käyttö tekee siitä vähemmän turvallista", sanoi tekninen Peter B altazar. MalwareFoxin sisällönkirjoittaja sähköpostissa: "Toisin kuin klassisissa taustatulostimissa, tulostusjärjestyksen täydellinen hallinta ei ole taustatulostussovelluksella."
Joten näyttää siltä, että Windows Print Spoolerin haavoittuvuuden ydinongelma on juuri se asia, joka erottaa sen useimmista muista taustatulostajista: riippuvuus GDI:stä. Ohjauksen jakaminen Windows Print Spoolerin ja GDI:n välillä sekä se, että GDI käsittelee kaikki tulostustiedot, jättää järjestelmän auki. Microsoft on ansiokkaasti yrittänyt pysyä ajan tasalla julkaisemalla useita tietoturvapäivityksiä järjestelmille, joita tämä koskee.
"Microsoft on julkaissut useita korjaustiedostoja ongelmien ratkaisemiseksi", Maberly sanoi. "Odotusaikana on kuitenkin edelleen kysymys, ovatko yritykset ja muut henkilöt [haluat] pysyä haavoittuvina antaakseen Microsoftille aikaa julkaista nämä korjaustiedostot."
Voiko Microsoft korjata sen?
Microsoftin tietoturvapäivitysten ajoissa julkaiseminen on hyvä asia, ja se näyttää hallitsevan tämän suhteellisen nopeasti, kun uusia haavoittuvuuksia havaitaan. Kuitenkin, mitä tulee järjestelmän tietoturvaan, useiden viikkojen odottaminen korjauksen saamiseksi ei välttämättä riitä. Varsinkin kun uusia haavoittuvuuksia löydetään edelleen, kun tunnettuja haavoittuvuuksia korjataan.
"Microsoftin tulisi varmistaa, että saamme pysyviä uhkaratkaisuja odottaessamme sen sijaan, että meillä olisi korjaustiedosto, josta tulee pian haavoittuva", sanoi Maberly.
Voiko Microsoft edes suojata - sikäli kuin tietokoneohjelma voidaan suojata - Windowsin tulostustulostuspalvelimen tässä vaiheessa? Voiko se metaforisesti sulkea veden ja korjata putket sen sijaan, että se yrittäisi tukkia uusia vuotoja, kun se löytää ne? Kun otetaan huomioon, kuinka usein Print Spoolerin tietoturvapäivityksiä on täytynyt työntää kuluneen kuukauden aikana, jotain on muutettava.
"Microsoftin tulisi suunnitella [tulostustulostus] uudelleen ja [sillä välin] tarjota päivitettyjä korjaustiedostoja sen korjaamiseksi. Tällä kertaa heidän on pidettävä mielessä GDI:n käytön turvallisuusnäkökohdat", B altazar sanoi. "…Taustatulostuksen pitäisi hallita kaikkia vaiheita, jotta tulostustyö saadaan onnistuneesti päätökseen. Tämä todennäköisesti sitoo sekvenssin tiukasti ja tekee taustatulostajasta vähemmän alttiin tunkeutumisille."
