.
A Microsoft ainda está ajudando a CrowdStrike a limpar a bagunça que começou há uma semana, quando 8,5 milhões de PCs ficaram offline devido a uma atualização com bugs da CrowdStrike. Agora, a gigante do software está pedindo mudanças no Windows e deixou algumas dicas sutis de que está priorizando tornar o Windows mais resiliente e disposta a pressionar fornecedores de segurança como a CrowdStrike a parar de acessar o kernel do Windows.
Embora a CrowdStrike tenha culpado um bug em seu software de teste pela atualização malfeita, seu software é executado no nível do kernel — a parte central de um sistema operacional que tem acesso irrestrito à memória do sistema e ao hardware — então, se algo der errado com o aplicativo da CrowdStrike, ele pode derrubar máquinas Windows com uma Tela Azul da Morte.
O software Falcon da CrowdStrike usa um driver especial que permite que ele seja executado em um nível mais baixo do que a maioria dos aplicativos para que ele possa detectar ameaças em um sistema Windows. A Microsoft tentou restringir o acesso de terceiros ao kernel no Windows Vista em 2006, mas foi recebida com resistência de fornecedores de segurança cibernética e reguladores da UE. No entanto, a Apple conseguiu bloquear seu sistema operacional macOS em 2020 para que os desenvolvedores não pudessem mais ter acesso ao kernel.
Agora, parece que a Microsoft quer reabrir as conversas sobre a restrição de acesso ao nível do kernel dentro do Windows.
“Este incidente mostra claramente que o Windows deve priorizar a mudança e a inovação na área de resiliência de ponta a ponta”, diz John Cable, vice-presidente de gerenciamento de programas para serviços e entrega do Windows, em uma postagem de blog intitulada “o caminho a seguir”. Cable pede uma cooperação mais estreita entre a Microsoft e seus parceiros “que também se importam profundamente com a segurança do ecossistema do Windows” para fazer melhorias de segurança.
Embora a Microsoft não detalhe as melhorias exatas que fará no Windows após os problemas do CrowdStrike, Cable deixa algumas pistas sobre qual direção a Microsoft quer ver as coisas tomarem. Cable menciona um novo recurso de enclaves VBS “que não exige que os drivers do modo kernel sejam resistentes a violações” e o serviço Azure Attestation da Microsoft como exemplos de inovações recentes de segurança.
“Esses exemplos usam abordagens modernas de Zero Trust e mostram o que pode ser feito para encorajar práticas de desenvolvimento que não dependem do acesso ao kernel”, diz Cable. “Continuaremos a desenvolver esses recursos, fortalecer nossa plataforma e fazer ainda mais para melhorar a resiliência do ecossistema do Windows, trabalhando aberta e colaborativamente com a ampla comunidade de segurança.”
Essas dicas podem dar início a uma conversa sobre acesso ao kernel do Windows, mesmo que a Microsoft alegue que não pode isolar seu sistema operacional da mesma forma que a Apple devido aos reguladores. O CEO da Cloudflare, Matthew Prince, já alertou sobre os efeitos do bloqueio adicional do Windows pela Microsoft, então a Microsoft precisará considerar cuidadosamente as necessidades dos fornecedores de segurança se quiser buscar uma mudança real.
.
