Analiza Microsoft asupra incidentului global provocat de CrowdStrike. Ce spune gigantul tech

Postat la: 31.07.2024 | Scris de: ZIUA NEWS

Un incident global recent a fost declanșat de CrowdStrike, un furnizor major de soluții de securitate cibernetică, și a generat numeroase probleme pentru utilizatorii de Windows din întreaga lume. Microsoft a oferit o analiză detaliată pentru a clarifica cauzele tehnice și a propune soluții pentru prevenirea unor astfel de incidente în viitor.

Cauzele tehnice ale incidentului
CrowdStrike a descoperit că problema principală a fost o eroare în driverul lor, CSagent. Acest driver a încercat să acceseze o parte a memoriei care nu îi era permisă, provocând erori de tip Blue Screen of Death (BSoD). Microsoft a folosit instrumente speciale, precum Microsoft WinDBG Kernel Debugger, pentru a investiga eroarea și a confirmat descoperirile CrowdStrike. Problema era localizată în modulul csagent.sys, care monitorizează și interceptează operațiunile pe fișiere, inclusiv crearea și modificarea acestora.

Driverul CSagent este crucial pentru soluțiile de securitate deoarece permite scanarea fișierelor noi adăugate pe stocare și monitorizarea activității sistemului pentru a detecta comportamente potențial periculoase. Acest incident a evidențiat importanța validării riguroase a driverelor și a desfășurării unor practici corespunzătoare pentru a preveni astfel de probleme de disponibilitate.

Importanța driverelor kernel în soluțiile de securitate
Produsele de securitate, inclusiv cele dezvoltate de Microsoft și CrowdStrike, se bazează adesea pe drivere care rulează în „modul kernel" din mai multe motive:

Driverele kernel permit vizibilitatea la nivel de sistem și capacitatea de a detecta amenințări încă din fazele timpurii ale boot-ului, cum ar fi bootkit-uri și rootkit-uri.

Analiza sau colectarea de date pentru activități de rețea cu volum mare de date beneficiază de pe urma driverelor kernel.

Driverele kernel oferă protecție împotriva dezactivării de către malware sau atacatori cu privilegii de administrator, deoarece pot fi încărcate foarte devreme în procesul de boot.

În mod normal, termenul „kernel" se referă la nucleul sistemului de operare, partea de bază și critică, care gestionează resursele hardware și comunicarea dintre hardware și software. Codurile care rulează în modul kernel trebuie validate riguros deoarece nu pot fi repornite la fel de ușor ca aplicațiile din modul utilizator.

Recomandările Microsoft
Microsoft recomandă dezvoltatorilor de soluții de securitate și administratorilor IT să:

-Utilizeze minimal senzorii în modul kernel pentru colectarea datelor și aplicarea măsurilor, limitând astfel expunerea la probleme de disponibilitate.

-Mute funcționalitățile complexe în modul utilizator, unde recuperarea este posibilă.

-Folosească tehnologii precum Virtualization-based Security (VBS) și Protected Processes pentru a oferi o protecție robustă a proceselor critice de securitate.

-Implementarea măsurilor de siguranță implicit în Windows 11, care include caracteristici precum Secure Boot, Memory Integrity și lista de blocare a driverelor vulnerabile.