מזונות חשובים
- Windows Print Spooler נמצא במרכז של מספר פרצות אבטחה לאחרונה.
- הדרך המסוימת של Windows Print Spooler פועלת הופכת עבודות הדפסה מורכבות לפשוטות יותר, אבל היא לא מאובטחת באותה מידה.
- עיצוב מחדש של Print Spooler ומתן לו יותר שליטה עלול להפוך אותו לפגיע פחות, אם מיקרוסופט מוכנה לעשות זאת.
Windows Print Spooler נמצא במרכז של מספר פרצות אבטחה לאחרונה, ולמרות המאמצים של מיקרוסופט, הבעיה לא נעלמת.
בתוך קצת יותר מחודש, מיקרוסופט אימתה שלוש פרצות אבטחה הקשורות ל-Windows Print Spooler, עם תיקונים שפורסמו עבור שתיים מהן עד כה. CVE-2021-34527 (המכונה "PrintNightmare"), CVE-2021-34481, ועכשיו CVE-2021-36958 אפשרו לשחקנים זדוניים להעניק לעצמם הרשאות SYSTEM מלאות. השבתת ה-Print Spooler היא אפשרות, אבל זה מונע ממך יכולת לחבר מדפסות כלשהן למחשב שלך. זה רחוק מלהיות פתרון אידיאלי.
"בעיה זו השפיעה באופן עקבי על שרתים ולקוחות של Windows, מ-Windows 7 עד 10, ושרתים 2019, 2004, 2012, 2008 ו-2016", אמר פליקס מאברלי, מומחה לאבטחת סייבר ב-Tiger Supplies, בדוא"ל ראיון עם Lifewire. "כל התיקונים שנוצרו על ידי מיקרוסופט לא הצליחו לאטום את האיום הזה."
למה ה-Print Spooler?
ספולרים, באופן כללי, הם מה שבעצם גורם למדפסות להדפיס - הם אוספים את כל הנתונים הדרושים, שולחים אותם למנהל ההדפסה, ואז הדרייבר מניע את המדפסת.הגרסה של מיקרוסופט משתמשת בממשק התקן גרפי של Windows (GDI) יחד עם מנהל ההדפסה כדי לומר למדפסת מה לעשות, ולא ליישום. זה מפשט את משימות ההדפסה עבור תוכניות מורכבות יותר ומסיר את הצורך של האפליקציה לדעת כיצד להפעיל דגמי מדפסת ספציפיים.
"למרות שהטכניקה המשמשת את Print Spooler של מיקרוסופט היא די מתקדמת ומאפשרת למשתמשים לעמוד בתור המסמכים שלהם להדפסה תוך כדי ביצוע משימות אחרות במחשב, השימוש ב-GDI הופך אותו לפחות מאובטח", אמר פיטר בלטזר, טכני כותב תוכן ב-MalwareFox, בדוא"ל, "שלא כמו הסלילים הקלאסיים, השליטה המלאה ברצף ההדפסה אינה עם אפליקציית ה-spooler."
לכן נראה שבעיית הליבה עם הפגיעות של Windows Print Spooler היא הדבר שמייחד אותו מרוב ה-spoolers האחרים: ההסתמכות על ה-GDI. פיצול שליטה בין Windows Print Spooler ל-GDI, בנוסף לכך שה-GDI יטפל בכל נתוני ההדפסה, משאיר את המערכת פתוחה.ייאמר לזכותה של מיקרוסופט, ניסתה להתעדכן על ידי שחרור עדכוני אבטחה מרובים עבור מערכות מושפעות.
"מיקרוסופט פרסמה מספר תיקונים כדי להתמודד עם בעיות", אמר מייברלי. "עם זאת, במהלך תקופת ההמתנה, נותרת השאלה אם חברות ואנשים אחרים [יהיו מוכנים] להישאר פגיעים כדי לתת למיקרוסופט זמן לשחרר את התיקונים האלה."
האם Microsoft יכול לתקן את זה?
Microsoft הנפקת עדכוני אבטחה בזמן היא טובה, ונראה שהיא מנהלת זאת במהירות יחסית, מכיוון שמכירים בפרצות חדשות. עם זאת, כשזה מגיע לאבטחת המערכת, הצורך להמתין מספר שבועות לתיקון עשוי להיות לא מספיק טוב. במיוחד כאשר נקודות תורפה חדשות ממשיכות להתגלות בזמן שהן מוכרות מטופלות.
"מיקרוסופט צריכה להבטיח שנקבל פתרונות איומים קבועים בזמן שאנחנו מחכים, במקום שיהיה לנו תיקון שהופך בקרוב לפגיע", אמר מייברלי.
האם זה בכלל אפשרי עבור Microsoft לאבטח-במידה שאפשר לאבטח תוכנית מחשב-Windows Print Spooler בשלב זה? האם הוא יכול באופן מטפורי לכבות את המים ולתקן את הצינורות במקום לנסות לסתום נזילות חדשות כשהוא מוצא אותן? בהתחשב בתדירות שבה הוא נאלץ לדחוף עדכוני אבטחה של Print Spooler בחודש האחרון, משהו צריך להשתנות.
"מיקרוסופט צריכה לעצב מחדש את [the Print Spooler], ו[בינתיים] להמשיך לספק תיקונים מעודכנים כדי לתקן את זה. הפעם עליהם לזכור את היבטי האבטחה של השימוש ב-GDI", אמר בלטזר. "…ל-spooler צריך להיות שליטה על כל השלבים לסיום מוצלח של עבודת ההדפסה. זה כנראה יקשור היטב את הרצף ויהפוך את ה-spooler פחות פגיע לחדירות."
