Microsoft фокусируется на безопасности ядра после инцидента CrowdStrike

Инцидент, связанный с CrowdStrike, оказал влияние на свыше 8,5 миллионов компьютеров с Windows по всему миру, что привело к появлению у пользователей так называемого «синего экрана смерти». Это событие вынудило Microsoft внимательно изучить и переосмыслить надежность своей операционной системы.

В настоящее время компания акцентирует внимание на ограничении доступа к ядру для программных приложений. Этот шаг направлен на улучшение общей безопасности и стабильности операционной системы Windows. Это решение стало частью усилий Microsoft по усилению архитектуры безопасности после инцидента с CrowdStrike, с целью сделать систему более надежной и защищенной.

«Этот случай наглядно демонстрирует, что Windows обязана фокусироваться на внедрении изменений и инноваций для повышения своей сквозной устойчивости», — отметил в своем блоге Джон Кейбл, вице-президент по управлению программами обслуживания и доставки Windows.

«Примеры новшеств», — добавил он, — «включают недавно представленные анклавы VBS, обеспечивающие изолированную вычислительную среду, которая не требует от драйверов режима ядра защиты от возможных атак. Также стоит отметить сервис проверки подлинности Microsoft Azure, способный помочь в определении уровня безопасности пути загрузки».

Microsoft выделила внедрение анклавов VBS и службы Microsoft Azure Attestation в качестве основных новшеств. Эти технологии создают изолированные вычислительные среды и позволяют оценивать уровень безопасности загрузочных путей, не требуя при этом использования драйверов режима ядра. Такой современный подход с нулевым доверием значительно снижает риски безопасности, уменьшая поверхность атак, доступную потенциальным угрозам.

В своем предварительном отчете о инциденте CrowdStrike указала, что причиной проблемы стала ошибка в тестовом программном обеспечении, находящаяся в ядре операционной системы.

Эксперты отметили риски, связанные с предоставлением разработчикам программного обеспечения доступа на уровне ядра.

Сунил Варки, консультант Beagle Security, пояснил: «Хотя доступ на уровне ядра является важным для выявления сложных угроз через мониторинг и перехват системных вызовов и низкоуровневых операций, неправильное управление им может угрожать стабильности операционной системы».

Добьется ли Microsoft успеха с таким подходом?

Доступ к ядру представляет собой существенную уязвимость, поскольку он позволяет осуществлять глубокие взаимодействия на системном уровне. В случае компрометации это может привести к серьезным сбоям и нарушениям. Именно поэтому Microsoft стремится ограничить доступ к ядру, чтобы уменьшить вероятность возникновения таких уязвимостей.

Изолированные среды и аттестационные службы обеспечивают защиту основной системы, даже если приложение или служба подвергнутся компрометации. Это существенно увеличивает общую устойчивость системы.

Тем не менее, это не первый случай, когда Microsoft пытается реализовать такой подход. В 2006 году, с операционной системой Vista, компания уже проводила испытания по ограничению доступа к ядру для сторонних поставщиков безопасности, но в итоге вынуждена была отказаться от этой идеи. В ответ на это Symantec и McAfee заявили, что решение Microsoft заблокировать доступ к ядру можно рассматривать как «антиконкурентное поведение».

По словам Варки, отсутствие доступа к ядру затрудняет программному обеспечению проведение детального поведенческого анализа процессов и приложений, что влияет на достижение его целей. «Ограничение этого доступа может снизить эффективность программ в их способности выявлять и предотвращать сложные атаки», — добавил он.

«Оптимально, чтобы такой привилегированный доступ был строго контролируемым, гарантируя использование адекватно протестированного и цифровым образом подписанного программного обеспечения с ограниченными привилегиями», — отметил Варки. Он также подчеркнул, что важно, чтобы поставщик операционной системы был честным со своими партнерами по поводу возможных уязвимостей и рисков, которые могут повлиять на устойчивость ядра.

Тем не менее, инцидент с CrowdStrike, который имел катастрофические последствия, похоже, стал тем катализатором, который заставил Microsoft вернуться к этому вопросу.

«Теперь, когда Microsoft приняла решение ограничить доступ к ядру для сторонних разработчиков, это может помочь снизить риск возникновения подобных инцидентов», — отметил Варки. «Однако тем сторонним поставщикам, которые в данный момент обладают привилегиями доступа к ядру, возможно, придется переосмыслить свое сотрудничество с поставщиками операционных систем для достижения своих целей». В противном случае, подчеркнул он, решения по безопасности, предлагаемые поставщиками ОС, могут оказаться единственным и стандартным вариантом.

Тем не менее, выглядит так, что софтверный гигант уже определился со своей позицией.

«Мы планируем продолжать развивать эти возможности, усиливать нашу платформу и прилагать дополнительные усилия для повышения устойчивости экосистемы Windows, сотрудничая открыто с широким сообществом специалистов в области безопасности», — отметил Кейбл в своем блоге.