Analiza Microsoft pe incidentul global provocat de CrowdStrike, un furnizor important de soluții de securitate cibernetică, lămurește cauzele tehnice și oferă recomandări pentru a evita astfel de probleme în viitor. Am scris aici despre acest incident global, dar pe Zona s-a tratat pe larg subiectul. Alte materiale găsiți aici și aici, plus clipul lui Dan Cadar, de pe YouTube.
Analiza Microsoft pe incidentul global provocat de CrowdStrike
CrowdStrike a descoperit că problema principală a incidentului a fost o eroare în driverul lor, CSagent, care a încercat să acceseze o parte a memoriei care nu îi era permisă. Microsoft a folosit unelte speciale (Microsoft WinDBG Kernel Debugger) pentru a investiga această eroare și a confirmat descoperirile CrowdStrike. Eroarea se afla în modulul csagent.sys, un program care monitorizează și interceptează operațiunile pe fișiere, cum ar fi crearea sau modificarea fișierelor.
Driverul CSagent este esențial pentru soluțiile de securitate, deoarece permite scanarea fișierelor noi adăugate pe stocare și monitorizarea activității sistemului pentru detectarea comportamentelor potențial periculoase. Incidentul a evidențiat importanța validării riguroase a driverelor și a practicilor de desfășurare a acestora pentru a preveni astfel de probleme de disponibilitate.
Produsele de securitate, inclusiv cele dezvoltate de Microsoft și CrowdStrike, se bazează adesea pe drivere care rulează în ”modul kernel” din mai multe motive:
- Driverele kernel permit vizibilitatea la nivel de sistem și capacitatea de a detecta amenințări încă din fazele timpurii ale boot-ului, precum bootkit-uri și rootkit-uri.
- Analiza sau colectarea de date pentru activități de rețea cu volum mare de date poate beneficia de pe urma driverelor kernel.
- Driverele kernel oferă protecție împotriva dezactivării de către malware sau atacatori cu privilegii de administrator, deoarece pot fi încărcate foarte devreme în procesul de boot.
În mod normal am folosi termenul kernel, dar aici ”modul kernel” se referă la o zonă opusă „modului utilizator”. „Modul kernel” descrie starea în care codul rulează cu privilegiile maxime, având acces complet la toate resursele sistemului. Kernel se referă la nucleul sistemului de operare, partea de bază și critică, care gestionează resursele hardware și comunicarea dintre hardware și software.
Microsoft afirmă că toate codurile care rulează în modul kernel trebuie să fie validate riguros, deoarece nu pot fi repornite la fel de ușor ca aplicațiile din modul utilizator. Gigantul tech recomandă dezvoltatorilor de soluții de securitate și administratorilor IT :
- Utilizarea minimală a senzorilor în modul kernel pentru colectarea datelor și aplicarea măsurilor, limitând astfel expunerea la probleme de disponibilitate.
- Mutarea funcționalităților complexe în modul utilizator, unde recuperarea este posibilă.
- Tehnologii precum Virtualization-based Security (VBS) și Protected Processes oferă o protecție robustă a proceselor critice de securitate.
- Implementarea măsurilor de siguranță implicit în Windows 11, care include caracteristici precum Secure Boot, Memory Integrity și lista de blocare a driverelor vulnerabile.
Analiza Microsoft pe incidentul global provocat de CrowdStrike si sfaturile companiei sunt binevenite, dar cumva nasc mai multe întrebări decât răspunsuri:
De ce n-a avut Microsoft o discuție cu producătorii de soluții de securitate înainte de acest incident?
De acum totul va fi în regulă sau ne putem aștepta oricând la noi surprize?
Ce noi funcții de securitate intenționează Microsoft să implementeze în versiunile viitoare ale Windows, pentru a îmbunătăți și mai mult securitatea kernelului?
