Come anticipato a fine agosto, Microsoft ha ospitato il Windows Endpoint Security Ecosystem Summit nel suo quartier generale a Redmond. Durante l’incontro sono state discusse diverse strategie per migliorare la sicurezza del sistema operativo ed evitare altri casi CrowdStrike in futuro. Una possibile soluzione è quella di eseguire i software di sicurezza “fuori dal kernel“.
Come potrebbe cambiare Windows 11
L’incidente del 19 luglio è stato causato da un aggiornamento del software Falcon di CrowdStrike. In particolare, il crash di oltre 8,5 milioni di computer nel mondo e la successiva comparsa della famigerata Blue Screen of Death (schermata blu della morte) sono stati causati da una violazione di accesso “out-of-bands” alla memoria da parte del driver CSagent.sys
(come ha spiegato Microsoft a fine luglio), innescata dall’aggiornamento C-00000291*.sys
.
Il software di CrowdStrike, come quasi tutti quelli di sicurezza, utilizza driver a livello kernel per vari motivi, tra cui visibilità, prestazioni e resistenza alle modifiche. Ciò consente di bloccare eventuali bootkit o rootkit e la disattivazione della protezione.
Durante il summit, Microsoft ha parlato con i partecipanti (tra cui CrowdStrike, Sophos, Trend Micro, ESET e SentinelOne) delle nuove funzionalità di Windows 11 che permettono di offrire un’elevata sicurezza anche all’esterno della modalità kernel. Sarà quindi necessario apportare profonde modifiche al sistema operativo. Sophos ha elencato una serie di possibili soluzioni per ridurre la dipendenza dai driver a livello kernel.
Microsoft aveva introdotto una funzionalità per Windows Vista nel 2006 (PatchGuard) che limitava l’accesso al kernel, ma ha successivamente eliminato la funzionalità in seguito alle pressioni ricevute dalle software house che vendono antivirus. Symantec aveva anche presentato una denuncia alla Commissione europea.