Controladores de impresión de Windows / Director de seguridad

Navega tus respuestas
2

Perdóneme si esta pregunta parece un poco "debajo del capó", pero creo que es importante saberlo desde un punto de vista de seguridad.

Veo que SPOOLSV.EXE se ejecuta con DLL de controlador de impresión (Tipo 3 - Modo de usuario, lo sé) cargados en el proceso bajo el principio de seguridad NT AUTH \ SYSTEM. ¿No significa esto que los controladores de impresión pueden hacer prácticamente lo que quieran? ¿Hay alguna manera de ejecutarlos en un contexto más restringido? Think Print Server que se dobla como controlador de dominio ...

Gracias.

    
pregunta Nathan 15.08.2014 - 15:20
fuente

1 respuesta

1

En general, los controladores pueden acceder al hardware (ese es su punto), lo que significa que tienen suficientes privilegios para hacer lo que quieran con la máquina. Algunos sistemas operativos intentan restringir de alguna manera algunos controladores a solo un subconjunto específico del hardware, pero es difícil (por ejemplo, si el hardware puede hacer DMA luego se requiere un poco de esfuerzo y algún soporte de hardware para garantizar que un controlador hostil no pueda leer ni escribir ninguna pieza de RAM a la que desee acceder).

Por eso las versiones recientes de Windows insisten en que los controladores sean firmado digitalmente : la firma no garantiza la seguridad, pero permite culpar y, por lo tanto, se espera que prevenga la mayoría de los ataques (a los atacantes realmente no les gusta que las fuerzas policiales lo ataquen) su puerta a las 06:00 AM).

    
respondido por el Thomas Pornin 15.08.2014 - 15:28
fuente

Lea otras preguntas en las etiquetas

Guardar temporalmente inicios de sesión fallidos de contraseña para usar contra el ataque de fuerza bruta ¿Cómo se enrutan los paquetes recibidos por un nodo de salida Tor a través del circuito de Tor?