Gjatë ditëve të fundit, CrowdStrike dhe Microsoft kanë punuar pa u lodhur për të ndihmuar klientët e prekur nga problemi masiv i Windows BSOD (ekrani blu i vdekjes) i shkaktuar nga një përditësim i gabuar i CrowdStrike, për të cilin CEO i CrowdStrike, George Kurtz tani u thirr për të dëshmuar përpara National Komisioni i Sigurisë i Dhomës së Deputetëve.
Përveç ofrimit të zgjidhjeve për zgjidhjen e problemit, CrowdStrike ka publikuar tashmë raportin e tij paraprak mbi incidentin, duke identifikuar shkakun kryesor si drejtuesin e CSagent.sys, qasja jashtë kufijve të të cilit prishi sistemet e Windows.
Microsoft konfirmon analizën e CrowdStrike
Microsoft së fundmi publikoi një analizë teknike të detajuar të defektit të shkaktuar nga drejtuesi i CrowdStrike, duke konfirmuar përfundimet e këtij të fundit.
Rrëzimi i miliona kompjuterëve Windows u shkaktua nga një gabim në drejtuesin CSagent.sys të zhvilluar nga CrowdStrike. Më konkretisht, ishte një gabim i sigurisë së kujtesës që rezultoi në një lexim përtej kufijve të lejuar. Drejtuesi CSagent.sys, në një përpjekje për të hyrë në një pjesë të memories, lexoi një zonë jashtë zonës së caktuar për atë proces.
Ky lloj leximi i gabuar, i quajtur “out-of-bounds”, shkel mbrojtjen e kujtesës dhe është potencialisht shumë i rrezikshëm sepse mund të mbishkruajë të dhënat ngjitur në memorie dhe të rrezikojë integritetin e sistemit. Ky modul është i regjistruar në PC-të Windows si një drejtues filtri i sistemit të skedarëve për të marrë njoftime rreth operacioneve të skedarëve, duke lejuar produktet e sigurisë, përfshirë CrowdStrike, të skanojnë çdo skedar të ri të ruajtur në disk.
Debati mbi aksesin në nivel kernel për softuerin e palëve të treta
Incidenti ka ngritur shumë kritika mbi vendimin e Microsoft për të lejuar zhvilluesit e softuerit të palëve të treta qasje në shtresën e kernelit. Në postimin e tij në blog, Microsoft shpjegoi arsyet e kësaj zgjedhjeje, duke theksuar se si drejtuesit e kernelit lejojnë shikueshmëri në të gjithë sistemin, aftësinë për të ngarkuar herët në procesin e nisjes për të zbuluar kërcënimet dhe performancë më të mirë në situata të caktuara. Megjithatë, kompania njeh gjithashtu rreziqet që lidhen me ekzekutimin e drejtuesve të modalitetit kernel.
Rekomandimet e Microsoft për balancimin e sigurisë dhe besueshmërisë
Microsoft sugjeron që shitësit e softuerëve të sigurisë të gjejnë ekuilibrin e duhur midis dy nevojave konkurruese kur hartojnë zgjidhjet e tyre. Nga njëra anë, ekziston nevoja për të patur një shikueshmëri të gjerë dhe aftësi kontrolli mbi sistemin, për të zbuluar dhe parandaluar kërcënimet në mënyrë efektive. Nga ana tjetër, ekziston rreziku i brendshëm i funksionimit në nivel kernel, thelbi i sistemit operativ.
Një gabim në këtë mënyrë mund të ketë pasoja katastrofike në stabilitetin e sistemit. Për të balancuar këto aspekte, Microsoft rekomandon mbajtjen në minimum të komponentëve që funksionojnë në modalitetin kernel, duke i kufizuar në mbledhjen e të dhënave thelbësore dhe zbatimin e politikave të sigurisë. Pjesa më e madhe e funksionalitetit duhet të zbatohet në modalitetin e përdoruesit, gjë që është më pak kritike.
Për më tepër, Microsoft thekson se vetë Windows tashmë integron mekanizma të shumëfishtë sigurie kundër malware dhe sulmeve, të cilat duhet të shfrytëzohen siç duhet nga shitësit e softuerëve të palëve të treta.
Planet e ardhshme për të parandaluar probleme të ngjashme
Megjithëse shumica e PC-ve me Windows të prekur nga ky problem janë përsëri në linjë, Microsoft po shikon nga e ardhmja për të parandaluar situata të ngjashme. Kompania, në fakt, planifikon të ofrojë udhëzime për përhapjen e sigurt të përditësimeve të produkteve të sigurisë, të zvogëlojë nevojën për drejtuesit e kernelit për të hyrë në të dhëna të rëndësishme të sigurisë, të sigurojë aftësi më të mëdha izolimi dhe kundër ndërhyrjeve dhe të lejojë qasjen Zero Trust.
Discussion about this post