Zakaj je Windows Print Spooler še vedno problem

Windows Print Spooler je bil v zadnjem času v središču več varnostnih ranljivosti in kljub Microsoftovim prizadevanjem težava ne izgine.

V dobrem mesecu dni je Microsoft preveril tri varnostne ranljivosti, povezane z Windows Print Spooler, pri čemer so bili doslej izdani popravki za dva od njih. CVE-2021-34527 (tudi "PrintNightmare"), CVE-2021-34481, in zdaj CVE-2021-36958 omogočila zlonamernim akterjem, da si dajo polne SISTEMSKE privilegije. Možnost onemogočanja tiskalnega ozadja, vendar vam to preprečuje, da bi na računalnik priključili kateri koli tiskalnik. Daleč od idealne rešitve.

"Ta težava je nenehno prizadela strežnike in odjemalce operacijskega sistema Windows, od Windows 7 do 10 ter strežnike 2019, 2004, 2012, 2008 in 2016," je dejal Felix Maberly, strokovnjak za kibernetsko varnost pri

Tiger Supplies, v e-poštnem intervjuju za Lifewire. "Vsi popravki, ki jih je izdelal Microsoft, niso mogli zapečatiti te grožnje."

Zakaj tiskalnik v ozadju?

Tiskalniki so na splošno tisto, kar v bistvu omogoča tiskanje – zberejo vse potrebne podatke, jih pošljejo gonilniku tiskalnika, nato pa gonilnik potisne tiskalnik. Microsoftova različica uporablja grafični vmesnik Windows (GDI) skupaj z gonilnikom tiskalnika, da tiskalniku pove, kaj naj naredi, in ne aplikaciji. To poenostavlja naloge tiskanja za bolj zapletene programe in odpravlja potrebo aplikacije po tem, kako upravljati določene modele tiskalnikov.

"Čeprav je tehnika, ki jo uporablja Microsoftov Print Spooler, precej napredna in omogoča uporabnikom, da svoje dokumente postavijo v čakalno vrsto za tiskanje med opravljanjem drugih nalog na računalniku, je uporaba GDI manj varna,« je povedal Peter Baltazar, tehnična vsebina pisatelj pri MalwareFox, v e-poštnem sporočilu, "ker za razliko od klasičnih ohišja v ozadju popoln nadzor nad zaporedjem tiskanja ni z aplikacijo za ozadje."

Zdi se torej, da je glavna težava z ranljivostjo Windows Print Spooler prav tisto, kar ga loči od večine drugih ozadij: zanašanje na GDI. Razdelitev nadzora med Windows Print Spooler in GDI, poleg tega, da GDI upravlja vse podatke o tiskanju, pusti sistem odprt. Microsoft je po svoji zaslugi poskušal ostati na tekočem z izdajo več varnostnih posodobitev za prizadete sisteme.

"Microsoft je izdal več popravkov za reševanje težav," je dejal Maberly. "Vendar v čakalnem obdobju ostaja vprašanje, ali bodo podjetja in drugi posamezniki [pripravljeni] ostati ranljivi, da bi Microsoftu dali čas za izdajo teh popravkov."

Ali ga lahko Microsoft popravi?

Pravočasno izdajanje varnostnih posodobitev pri Microsoftu je dobro in zdi se, da to obvladuje relativno hitro, saj so nove ranljivosti priznane. Vendar, ko gre za varnost sistema, čakanje na popravek več tednov morda ne bo dovolj dobro. Še posebej, ko se nove ranljivosti še naprej odkrivajo, medtem ko se odpravljajo znane.

"Microsoft bi moral zagotoviti, da bomo med čakanjem dobili trajne rešitve za grožnje, namesto da bi imeli popravek, ki kmalu postane ranljiv," je dejal Maberly.

Ali je Microsoft na tej točki sploh mogoče zavarovati – kolikor je mogoče zavarovati računalniški program – Windows Print Spooler? Ali lahko metaforično izklopi vodo in popravi cevi, namesto da poskuša zamašiti nova puščanja, ko jih najde? Glede na to, kako pogosto je bilo treba v zadnjem mesecu potisniti varnostne posodobitve Print Spooler, je treba nekaj spremeniti.

"Microsoft bi moral preoblikovati [tisnilni okrajni program] in [vmes] še naprej zagotavljati posodobljene popravke, da ga popravijo. Tokrat morajo upoštevati varnostne vidike uporabe GDI,« je dejal Baltazar. "...Predelnik v ozadju mora imeti nadzor nad vsemi koraki za uspešen zaključek tiskalnega posla. To bo verjetno tesno povezalo zaporedje in naredilo kalkulator manj ranljiv za infiltracije."