過去十天,CrowdStrike 和微軟一直在全力協(xié)助受大規(guī)模 Windows 藍(lán)屏死機(jī)問題影響的用戶�。該問題是由 CrowdStrike 的一個錯誤更新引起的�。除了提供解決方法外�,CrowdStrike 已經(jīng)發(fā)布了關(guān)于此次宕機(jī)的初步事故后審查報告����。根據(jù)報告�����,藍(lán)屏死機(jī)是由內(nèi)存安全問題引起的�����,CrowdStrike 的 CSagent 驅(qū)動程序發(fā)生了越界讀取訪問沖突��。
微軟昨天發(fā)布了對 CrowdStrike 驅(qū)動程序?qū)е碌拇舜五礄C(jī)的詳細(xì)技術(shù)分析�����。微軟的分析證實(shí)了 CrowdStrike 的發(fā)現(xiàn)����,即崩潰是由 CrowdStrike 的 CSagent.sys 驅(qū)動程序中的越界內(nèi)存安全錯誤引起的����。csagent.sys 模塊在 Windows 電腦上注冊為文件系統(tǒng)過濾器驅(qū)動程序�����,以接收有關(guān)文件操作(包括創(chuàng)建或修改文件)的通知����,這允許包括 CrowdStrike 在內(nèi)的安全產(chǎn)品掃描保存到磁盤的任何新文件����。
IT之家注意到,事件發(fā)生時���,微軟因允許第三方軟件開發(fā)商進(jìn)行內(nèi)核級訪問受到了大量批評。在博客文章中��,微軟解釋了為何為安全產(chǎn)品提供內(nèi)核級訪問:
內(nèi)核驅(qū)動程序允許系統(tǒng)范圍內(nèi)的可見性�����,并能夠在啟動過程早期加載���,以檢測啟動套件和根套件等威脅�����,這些威脅可以在用戶模式應(yīng)用程序之前加載�����。
微軟提供系統(tǒng)事件回調(diào)���、文件過濾器驅(qū)動程序等功能。
內(nèi)核驅(qū)動程序可為高吞吐量網(wǎng)絡(luò)活動等情況提供更好的性能����。
安全解決方案希望確保其軟件無法被惡意軟件��、定向攻擊或惡意內(nèi)部人員禁用��,即使這些攻擊者具有管理員權(quán)限����。為此,Windows 在啟動早期提供早期啟動反惡意軟件(ELAM)�。
然而,內(nèi)核驅(qū)動程序也需要權(quán)衡����,因?yàn)樗鼈冊?Windows 最可信的級別運(yùn)行,增加了風(fēng)險�����。微軟還致力于將復(fù)雜的 Windows 核心服務(wù)從內(nèi)核模式遷移到用戶模式���,例如字體文件解析���。微軟建議安全解決方案提供商在可視性和防篡改需求與內(nèi)核模式操作風(fēng)險之間取得平衡。例如��,他們可以使用在內(nèi)核模式下運(yùn)行的最小傳感器進(jìn)行數(shù)據(jù)收集和執(zhí)行����,從而限制對可用性問題的暴露。其余功能���,如管理更新��、解析內(nèi)容和其他操作,可以在用戶模式下隔離進(jìn)行��。
在博客文章中,微軟還解釋了 Windows 操作系統(tǒng)的內(nèi)置安全功能��。這些安全功能提供了多層保護(hù)���,防止惡意軟件和攻擊企圖�����。微軟將通過微軟病毒計(jì)劃(MVI)與反惡意軟件生態(tài)系統(tǒng)合作���,利用 Windows 內(nèi)置安全功能進(jìn)一步提高安全性和可靠性���。
微軟目前計(jì)劃:
提供安全部署指南�、最佳實(shí)踐和技術(shù),使安全產(chǎn)品更新更安全�。
減少內(nèi)核驅(qū)動程序訪問重要安全數(shù)據(jù)的需要。
通過最近宣布的 VBS 孤島等技術(shù)提供增強(qiáng)的隔離和防篡改功能�。
啟用零信任方法,如高完整性認(rèn)證�����,該方法可根據(jù) Windows 原生安全功能的健康狀況確定機(jī)器的安全狀態(tài)。
截至 7 月 25 日���,受此問題影響的 Windows 電腦已超過 97% 恢復(fù)在線��,微軟現(xiàn)在正著眼于防止未來出現(xiàn)此類問題�����。微軟 Windows 程序管理副總裁 John Cable 最近發(fā)表了一篇關(guān)于 CrowdStrike 問題的博客文章����,其中提到 Windows 必須優(yōu)先考慮端到端彈性的變化和創(chuàng)新����,這正是客戶對微軟的期望。
京公網(wǎng)安備 11010502041587號