Proč je zařazování tisku Windows stále problémem

Windows Print Spooler byl v poslední době středem několika slabých míst zabezpečení a navzdory úsilí společnosti Microsoft problém nezmizí.

Za něco málo přes měsíc společnost Microsoft ověřila tři bezpečnostní zranitelnosti spojené s Windows Print Spooler, přičemž opravy byly dosud vydány pro dvě z nich. CVE-2021-34527 (také znám jako "PrintNightmare"), CVE-2021-34481, a teď CVE-2021-36958 umožnilo zlovolným aktérům udělit si plná SYSTÉMOVÁ privilegia. Zakázání zařazování tisku je možnost, ale zabrání vám to v připojení jakékoli tiskárny k počítači. K ideálnímu řešení má daleko.

"Tento problém trvale postihuje servery a klienty Windows, od Windows 7 po 10 a servery 2019, 2004, 2012, 2008 a 2016," řekl Felix Maberly, expert na kybernetickou bezpečnost

Potřeby pro tygry, v e-mailovém rozhovoru s Lifewire. "Všechny záplaty vytvořené společností Microsoft nebyly schopny tuto hrozbu zapečetit."

Proč Print Spooler?

Spoolery obecně umožňují tiskárnám v podstatě tisknout – shromažďují všechna potřebná data, odesílají je do tiskového ovladače a poté ovladač uvádí tiskárnu do pohybu. Verze společnosti Microsoft využívá rozhraní Windows Graphical Device Interface (GDI) spolu s tiskovým ovladačem, které tiskárně říká, co má dělat, spíše než aplikaci. To zjednodušuje tiskové úlohy pro složitější programy a odstraňuje potřebu aplikace vědět, jak ovládat konkrétní modely tiskáren.

„Ačkoli technika používaná tiskovým zařazovacím programem společnosti Microsoft je poměrně pokročilá a umožňuje uživatelům řadit své dokumenty do fronty tisknout při provádění jiných úkolů na počítači, použití GDI jej snižuje zabezpečením,“ řekl Peter Baltazar, technický obsah spisovatel u MalwareFox, v e-mailu, "na rozdíl od klasických spoolerů není úplná kontrola tiskové sekvence pomocí zařazovací aplikace."

Zdá se tedy, že hlavním problémem se zranitelností Windows Print Spooler je právě ta věc, která jej odlišuje od většiny ostatních spoolerů: spoléhání se na GDI. Rozdělením řízení mezi Windows Print Spooler a GDI a tím, že GDI zpracovává všechna tisková data, zůstává systém otevřený. K jeho cti je třeba říci, že Microsoft se snaží zůstat nad věcí tím, že vydává několik aktualizací zabezpečení pro postižené systémy.

"Microsoft vydal několik oprav, které řeší problémy," řekl Maberly. "Během čekací doby však zůstává otázkou, zda společnosti a další jednotlivci [budou ochotni] zůstat zranitelní, aby dali Microsoftu čas na vydání těchto záplat."

Dokáže to Microsoft opravit?

Microsoft vydávat aktualizace zabezpečení včas je dobré a zdá se, že to zvládá relativně rychle, protože jsou rozpoznány nové zranitelnosti. Pokud však jde o zabezpečení systému, čekat několik týdnů na opravu nemusí být dost dobré. Zvláště když se stále objevují nové zranitelnosti, zatímco se řeší ty známé.

„Microsoft by měl zajistit, že na čekání získáme trvalá řešení hrozeb, spíše než mít záplatu, která se brzy stane zranitelnou,“ řekl Maberly.

Je vůbec možné, aby Microsoft v tomto bodě zabezpečil – pokud lze zabezpečit počítačový program – Windows Print Spooler? Dokáže metaforicky vypnout vodu a opravit potrubí, než aby se snažil ucpat nové netěsnosti, když je najde? Vzhledem k tomu, jak často bylo nutné za poslední měsíc dávat aktualizace zabezpečení Print Spooler, je třeba něco změnit.

„Microsoft by měl přepracovat [zařazování tisku] a [zatím] poskytovat aktualizované záplaty, které to opraví. Tentokrát musí mít na paměti bezpečnostní aspekty používání GDI,“ řekl Baltazar. „...Zařazovací služba by měla mít kontrolu nad všemi kroky pro úspěšné dokončení tiskové úlohy. To pravděpodobně pevně spojí sekvenci a učiní zařazovací službu méně zranitelnou vůči infiltracím."