Hvorfor Windows' Print Spooler stadig er et problem

Windows Print Spooler har været i centrum for adskillige sikkerhedssårbarheder på det seneste, og trods Microsofts indsats forsvinder problemet ikke.

På lidt over en måneds tid har Microsoft verificeret tre sikkerhedssårbarheder knyttet til Windows Print Spooler, med patches udgivet til to af dem indtil videre. CVE-2021-34527 (alias "PrintNightmare"), CVE-2021-34481, og nu CVE-2021-36958 gjort det muligt for ondsindede aktører at give sig selv fulde SYSTEM-privilegier. Deaktivering af Print Spooler er en mulighed, men dette forhindrer dig i at kunne tilslutte enhver printer til din computer. Det er langt fra en ideel løsning.

"Dette problem har konsekvent påvirket servere og klienter af Windows, fra Windows 7 til 10, og servere 2019, 2004, 2012, 2008 og 2016," sagde Felix Maberly, cybersikkerhedsekspert hos Tiger forsyninger, i et e-mailinterview med Lifewire. "Alle patches lavet af Microsoft har ikke været i stand til at forsegle denne trussel."

Hvorfor Print Spooler?

Spoolere er generelt det, der i bund og grund får printere til at udskrive - de indsamler alle de nødvendige data, sender dem til printerdriveren, hvorefter driveren får printeren i gang. Microsofts version bruger en Windows Graphical Device Interface (GDI) sammen med printerdriveren for at fortælle printeren, hvad den skal gøre, i stedet for applikationen. Dette forenkler udskrivningsopgaver for mere komplekse programmer og fjerner programmets behov for at vide, hvordan man betjener specifikke printermodeller.

"Selvom den teknik, der bruges af Microsofts Print Spooler, er ret avanceret og giver brugerne mulighed for at stille deres dokumenter i kø for udskrivning, mens du udfører andre opgaver på computeren, gør brugen af ​​GDI det mindre sikkert," sagde Peter Baltazar, teknisk indhold skribent kl MalwareFox, i en e-mail, "i modsætning til de klassiske spoolere, er den fuldstændige kontrol over udskrivningssekvensen ikke med spooler-applikationen."

Så det ser ud til, at kerneproblemet med Windows Print Spoolers sårbarhed er netop det, der adskiller den fra de fleste andre spoolere: afhængigheden af ​​GDI. Opdeling af kontrol mellem Windows Print Spooler og GDI, plus at GDI håndterer alle udskriftsdata, efterlader systemet åbent. Microsoft har til sin ære forsøgt at holde sig på forkant med tingene ved at frigive flere sikkerhedsopdateringer til berørte systemer.

"Microsoft har udgivet flere patches til at håndtere problemer," sagde Maberly. "Men i venteperioden er spørgsmålet stadig, om virksomheder og andre enkeltpersoner vil [være villige til at] forblive sårbare for at give Microsoft tid til at frigive disse patches."

Kan Microsoft ordne det?

Microsoft udsender sikkerhedsopdateringer rettidigt er godt, og det ser ud til at håndtere dette med relativ hastighed, da nye sårbarheder erkendes. Men når det kommer til systemsikkerhed, er det måske ikke godt nok at skulle vente flere uger på en rettelse. Især når nye sårbarheder fortsætter med at blive opdaget, mens kendte bliver adresseret.

"Microsoft bør sikre, at vi får permanente trusselsløsninger, mens vi venter, i stedet for at have en patch, der snart bliver sårbar," sagde Maberly.

Er det overhovedet muligt for Microsoft at sikre - for så vidt som et computerprogram kan sikres - Windows Print Spooler på dette tidspunkt? Kan den metaforisk lukke for vandet og reparere rørene i stedet for at forsøge at lukke nye lækager, efterhånden som den finder dem? I betragtning af hvor ofte det har været nødt til at skubbe Print Spooler-sikkerhedsopdateringer i den seneste måned, skal noget ændres.

"Microsoft bør redesigne [printspooleren] og [i mellemtiden] fortsætte med at levere opdaterede patches for at rette det. Denne gang skal de have sikkerhedsaspekterne ved at bruge GDI i tankerne," sagde Baltazar. "...Spooleren skal have kontrol over alle trinene for at afslutte udskrivningsjobbet. Dette vil sandsynligvis binde sekvensen tæt og gøre spooleren mindre sårbar over for infiltrationer."