.
Atualizada A Microsoft prometeu reduzir a dependência dos fornecedores de segurança cibernética no código do modo kernel, que estava no centro do grande problema do CrowdStrike neste mês.
Redmond compartilhou um artigo de resposta a incidentes técnicos no sábado – intitulado “Melhores práticas de segurança do Windows para integrar e gerenciar ferramentas de segurança” – no qual o vice-presidente de segurança corporativa e de sistemas operacionais, David Weston, explicou como a Microsoft mediu o impacto do desastre: acessando relatórios de falhas compartilhados pelos clientes.
Mas é claro, como Weston observou, nem todos os clientes do Windows compartilham relatórios de falhas.
“Vale a pena notar que o número de dispositivos que geraram relatórios de travamento é um subconjunto do número de dispositivos impactados compartilhados anteriormente pela Microsoft”, ele escreveu. O que significa que a gigante de TI produziu essa estimativa de 8,5 milhões de computadores Windows afetados pelo snafu da CrowdStrike sem um relatório de travamento de cada um deles. A gigante do software não detalhou a metodologia usada para calcular o número.
A postagem de Weston justifica o desempenho do Windows, com base no fato de que drivers em nível de kernel – como aqueles empregados pela CrowdStrike – podem melhorar o desempenho e evitar adulteração de software de segurança. Ele observou, no entanto, que os fornecedores de infosec devem racionalizar esses benefícios contra potenciais impactos negativos na resiliência.
Se o código do modo kernel quebrar, como aconteceu com o CrowdStrike quando seu conjunto Falcon tentou analisar um arquivo de configuração incorreto enviado a milhões de máquinas Windows, a falha resultante derrubará todo o sistema operacional e seus aplicativos.
Portanto, quanto mais for possível fazer fora do kernel, melhor; se esse processamento sair dos trilhos no modo de usuário, o resto do sistema deve continuar funcionando, pelo menos, e a falha deve ser tratada com elegância.
Isso ocorre porque o modo kernel do Windows é um ambiente poderoso e confiável no qual o código é executado próximo ao hardware e não há muitos guardrails; é o software que gerencia seus dispositivos, mantém os núcleos da CPU ocupados com o trabalho dos aplicativos e mantém os programas e usuários separados uns dos outros conforme necessário, entre outras tarefas.
É um bom lugar para mecanismos de detecção de malware serem executados, na forma de drivers de kernel, pois eles têm boa visibilidade de todo o computador para detectar intrusões e outras ameaças.
Mas a desvantagem é que se esses mecanismos forem comprometidos ou quebrarem, eles podem derrubar a caixa inteira ou, pior, abrir o sistema para mais ataques. Daí a sugestão de mover funções auxiliares, como análise de arquivo de configuração, para fora do kernel e para o espaço do usuário, onde o dano será limitado.
E especialmente no caso do CrowdStrike, no qual seu código de nível de driver assinado digitalmente — normalmente aprovado pela Microsoft — é estendido por arquivos de dados enviados na forma de atualizações; uma atualização desonesta anulará qualquer confiança que o Windows tinha no código de nível de kernel do CrowdStrike.
O driver Falcon neste caso era um driver de filtro do sistema de arquivos, que normalmente permite que o produto antivírus procure por operações de arquivo maliciosas; a atualização incorreta do arquivo neste mês fez com que o driver acessasse a memória que não deveria, acionando uma exceção de leitura fora dos limites e uma falha no sistema.
“Como os drivers do kernel são executados no nível mais confiável do Windows, onde os recursos de contenção e recuperação são limitados por natureza, os fornecedores de segurança devem equilibrar cuidadosamente necessidades como visibilidade e resistência a violações com o risco de operar no modo kernel”, como disse Weston.
Ele observou que os fornecedores de segurança podem encontrar o equilíbrio certo.
“Por exemplo, fornecedores de segurança podem usar sensores mínimos que rodam em modo kernel para coleta e aplicação de dados, limitando a exposição a problemas de disponibilidade”, ele explicou. “O restante da funcionalidade principal do produto inclui gerenciamento de atualizações, análise de conteúdo e outras operações que podem ocorrer isoladas dentro do modo de usuário, onde a recuperabilidade é possível.”
Esse arranjo, ele sugeriu, “demonstra a melhor prática de minimizar o uso do kernel e, ao mesmo tempo, manter uma postura de segurança robusta e forte visibilidade”.
Você está tomando notas, CrowdStrike?
Este também é um bom momento para observar que o CrowdStrike tentou testar sua atualização ruim antes do lançamento, embora esse pipeline de validação tenha falhado em detectar, sinalizar e bloquear os dados corrompidos de serem enviados a todos. Mais um motivo para colocar esse tipo de código de análise de configuração no modo de usuário, em vez do modo kernel sensível, e mais um motivo para o CrowdStrike melhorar suas práticas de teste com sandboxing e outras coisas.
Se o CrowdStrike consegue separar facilmente sua análise de configuração de seu código de detecção é outra história; esperamos que o fornecedor esteja pelo menos pensando nisso.
Weston também lembrou aos leitores que Redmond administra um fórum do setor chamado Microsoft Virus Initiative (MVI), no qual fornecedores de segurança e a gigante dos sistemas operacionais trabalham juntos para “definir pontos de extensão confiáveis e melhorias de plataforma, além de compartilhar informações sobre a melhor forma de proteger nossos clientes”.
O vice-presidente da Microsoft listou as muitas melhorias relacionadas à segurança que a Microsoft fez ao longo dos anos e revelou que o megálito do software agora planeja “trabalhar com o ecossistema antimalware para aproveitar esses recursos integrados para modernizar sua abordagem, ajudando a dar suporte e até mesmo aumentar a segurança junto com a confiabilidade”.
Esse trabalho envolverá quatro esforços, a saber:
- Fornecer orientação de implementação segura, melhores práticas e tecnologias para tornar mais seguro realizar atualizações em produtos de segurança;
- Reduzindo a necessidade de drivers de kernel para acessar dados de segurança importantes;
- Fornecendo isolamento aprimorado e recursos anti-adulteração com tecnologias como os enclaves VBS anunciados recentemente;
- Habilitar abordagens de confiança zero, como atestado de alta integridade, que fornece um método para determinar o estado de segurança da máquina com base na integridade dos recursos de segurança nativos do Windows.
O segundo ponto parece ter como objetivo garantir que um evento como o CrowdStrike se torne menos provável no futuro.
Weston não explicou como essa dependência reduzida será implementada – provavelmente será necessária alguma reformulação do Windows para que isso aconteça.
A Microsoft e o Windows têm uma longa e inglória história de confusões de segurança. Se as mudanças de Redmond derem errado, não será a CrowdStrike a culpar por novos problemas. ®
Atualização às 19h30 UTC
O título e o texto deste artigo foram revisados porque, para sermos francos, consideramos a divulgação da Microsoft sobre a contagem de relatórios de falhas ser um subconjunto como uma admissão ou sugestão de que a gigante da TI subestimou o número de máquinas Windows afetadas pelo problema da CrowdStrike. Pensando bem, não sabemos disso com certeza, então estamos felizes em esclarecer o artigo sem essa suposição.
.
