Negli ultimi giorni, CrowdStrike e Microsoft hanno lavorato senza sosta per assistere i clienti colpiti dall’imponente problema di BSOD (lo schermo blu della morte) di Windows, causato da un aggiornamento difettoso di CrowdStrike, per cui ora il CEO di CrowdStrike George Kurtz è stato chiamato a testimoniare davanti alla Commissione per la Sicurezza Nazionale della Camera dei Deputati.
Oltre a fornire soluzioni per risolvere il problema, CrowdStrike ha già pubblicato il suo rapporto preliminare sull’incidente, identificando la causa principale nel driver CSagent.sys, il cui accesso fuori limite ha mandato in crash i sistemi Windows.
Conferma dell’analisi di CrowdStrike da parte di Microsoft
Microsoft ha recentemente rilasciato un’analisi tecnica dettagliata del bug causato dal driver di CrowdStrike, confermando le conclusioni di quest’ultima.
L’arresto anomalo di milioni di computer Windows è stato causato da un bug nel driver CSagent.sys sviluppato da CrowdStrike. Più nello specifico, si trattava di un errore di sicurezza della memoria che ha provocato una lettura oltre i limiti consentiti. Il driver CSagent.sys, nel tentativo di accedere ad una parte di memoria, ha letto una zona al di fuori dell’area allocata per quel processo.
Questo tipo di lettura errata, detta “out-of-bounds”, viola le protezioni della memoria ed è potenzialmente molto pericolosa perché può sovrascrivere dati adiacenti in memoria e compromettere l’integrità del sistema. Questo modulo è registrato sui PC Windows come driver di filtro del file system per ricevere notifiche sulle operazioni sui file, consentendo ai prodotti di sicurezza, tra cui CrowdStrike, di eseguire la scansione di qualsiasi nuovo file salvato su disco.
Il dibattito sull’accesso al livello del kernel per software di terze parti
L’incidente ha sollevato molte critiche riguardo alla decisione di Microsoft di permettere agli sviluppatori di software di terze parti di accedere al livello del kernel. Nel suo post sul blog, Microsoft ha spiegato le ragioni di questa scelta, evidenziando come i driver del kernel consentano una visibilità a livello di sistema, la capacità di caricarsi all’inizio del processo di avvio per rilevare minacce e prestazioni migliori in determinate situazioni. Tuttavia, l’azienda riconosce anche i rischi associati all’esecuzione di driver in modalità kernel.
I consigli di Microsoft per bilanciare sicurezza e affidabilità
Microsoft suggerisce ai fornitori di software di sicurezza di trovare il giusto equilibrio tra due esigenze contrapposte quando progettano le loro soluzioni. Da una parte, c’è la necessità di avere ampia visibilità e capacità di controllo sul sistema, per rilevare e prevenire minacce in modo efficace. Dall’altra, vi è il rischio intrinseco di operare a livello kernel, il nucleo del sistema operativo.
Un errore in questa modalità può avere conseguenze disastrose sulla stabilità del sistema. Per bilanciare questi aspetti, Microsoft raccomanda di mantenere al minimo i componenti che operano in modalità kernel, limitandoli alla raccolta dati essenziale e all’applicazione delle policy di sicurezza. Il grosso delle funzionalità dovrebbe invece essere implementato in user mode, modalità utente, meno critica.
Inoltre, Microsoft ricorda che Windows stesso integra già molteplici meccanismi di sicurezza contro malware e attacchi, che vanno sfruttati a dovere dai fornitori di software di terze parti.
Piani futuri per prevenire problemi simili
Nonostante la maggior parte dei PC Windows colpiti da questo problema sia tornata online, Microsoft guarda al futuro per prevenire situazioni simili. L’azienda, infatti, ha pianificato di fornire linee guida per il rollout sicuro degli aggiornamenti dei prodotti di sicurezza, ridurre la necessità di driver del kernel per accedere a importanti dati di sicurezza, fornire maggiori capacità di isolamento e anti-manomissione e permettere l’approccio Zero Trust.