Microsoft планирует ограничить антивирусы для Windows: Компания объяснила истинную причину сбоя CrowdStrike

За последние 10 дней компании CrowdStrike и Microsoft работали круглосуточно, чтобы помочь клиентам, пострадавшим от масштабной проблемы с синим экраном смерти (BSOD) Windows, вызванной неисправным обновлением CrowdStrike. Помимо предоставления способов решения проблемы, CrowdStrike опубликовала предварительный отчет об инциденте. Согласно отчету, BSOD был вызван ошибкой безопасности памяти, когда драйвер CSagent совершал выход за пределы допустимого диапазона при чтении.

Накануне Microsoft опубликовала свой подробный технический анализ сбоя, вызванного драйвером CrowdStrike. Анализ Microsoft подтвердил выводы CrowdStrike, что сбой произошел из-за ошибки безопасности памяти при выходе за пределы допустимого диапазона памяти в драйвере CSagent.sys. Модуль csagent.sys зарегистрирован в Windows как драйвер фильтра файловой системы и предназначен для получения уведомлений о файловых операциях, включая создание или изменение файла. Это позволяет решениям безопасности, включая CrowdStrike, сканировать любые новые файлы, сохраненные на диске.

Когда произошел инцидент, Microsoft критиковали за предоставление разработчикам стороннего ПО доступа на уровне ядра. В блоге Microsoft объяснила, почему они предоставляют доступ на уровне ядра для продуктов безопасности:

• Драйверы ядра позволяют получить системную видимость и загружаться на ранних этапах процесса загрузки для обнаружения угроз, таких как буткиты и руткиты, которые могут загружаться до приложений пользовательского режима.
• Microsoft предлагает такие функции как обратные вызовы системных событий для создания процессов и потоков, драйверы фильтра файлов и многое другое.
• Драйверы ядра обеспечивают лучшую производительность для таких случаев, как высокая пропускная способность сетевой активности.
• Защитные решения хотят гарантировать, что их ПО не может быть отключено вредоносными программами, целенаправленными атаками или злоумышленниками, даже если у этих атакующих есть права администратора. Windows предлагает ранний запуск антивредоносного ПО (ELAM) на ранних этапах загрузки именно по этой причине.

С другой стороны, драйверы ядра имеют свои риски, поскольку они работают на самом доверенном уровне Windows. Microsoft также работает над переносом сложных основных сервисов Windows из ядра в пользовательский режим, например рендеринг шрифтов.

Microsoft рекомендует поставщикам антивирусного ПО балансировать между необходимостью в видимости и устойчивости к взлому и риском работы в режиме ядра. Например, вендоры могут использовать минимальные датчики, работающие в режиме ядра для сбора данных и обеспечения, ограничивая воздействие на проблемы с доступностью. Остальные функции, такие как управление обновлениями, разбор контента и другие операции, могут выполняться изолированно в пользовательском режиме.

В своем блоге Microsoft также рассказала про встроенные функции безопасности Windows. Эти возможности безопасности предлагают уровни защиты от вредоносных программ и попыток эксплуатации в Windows. Microsoft будет работать с антивирусной экосистемой через Microsoft Virus Initiative (MVI), чтобы воспользоваться встроенными функциями безопасности Windows для дальнейшего повышения безопасности и надежности.

На данный момент Microsoft запланировала следующие меры:

• Предоставление рекомендаций по безопасному развертыванию, передовых методов и технологий, чтобы сделать обновления продуктов безопасности более безопасными.
• Снижение необходимости в драйверах ядра для доступа к важным данным безопасности.
• Предоставление улучшенной изоляции и возможностей защиты от взлома с помощью технологий, например недавно анонсированных VBS-анклавов.
• Внедрение подходов нулевого доверия, таких как аттестация высокой целостности, которая предоставляет метод определения состояния безопасности машины на основе состояния встроенных функций безопасности Windows.

Хотя более 97% ПК с Windows, затронутых этой проблемой, снова в сети по состоянию на 25 июля, Microsoft теперь смотрит вперед, чтобы предотвратить такие проблемы в будущем. Джон Кейбл (John Cable), вице-президент по управлению программами Windows в Microsoft, недавно опубликовал публикацию блога о проблеме CrowdStrike, где он упомянул, что Windows должна приоритетно развивать изменения и инновации в области конечной устойчивости, ведь именно этого ждут клиенты компании.