過去十天�,CrowdStrike 和微軟一直在全力協(xié)助受大規(guī)模 Windows 藍屏死機問題影響的用戶����。該問題是由 CrowdStrike 的一個錯誤更新引起的。除了提供解決方法外��,CrowdStrike 已經(jīng)發(fā)布了關(guān)于此次宕機的初步事故后審查報告���。根據(jù)報告�����,藍屏死機是由內(nèi)存安全問題引起的�,CrowdStrike 的 CSagent 驅(qū)動程序發(fā)生了越界讀取訪問沖突���。
微軟昨天發(fā)布了對 CrowdStrike 驅(qū)動程序?qū)е碌拇舜五礄C的詳細技術(shù)分析��。微軟的分析證實了 CrowdStrike 的發(fā)現(xiàn)��,即崩潰是由 CrowdStrike 的 CSagent.sys 驅(qū)動程序中的越界內(nèi)存安全錯誤引起的��。csagent.sys 模塊在 Windows 電腦上注冊為文件系統(tǒng)過濾器驅(qū)動程序���,以接收有關(guān)文件操作(包括創(chuàng)建或修改文件)的通知�����,這允許包括 CrowdStrike 在內(nèi)的安全產(chǎn)品掃描保存到磁盤的任何新文件�����。
IT之家注意到�����,事件發(fā)生時�,微軟因允許第三方軟件開發(fā)商進行內(nèi)核級訪問受到了大量批評��。在博客文章中�����,微軟解釋了為何為安全產(chǎn)品提供內(nèi)核級訪問:
內(nèi)核驅(qū)動程序允許系統(tǒng)范圍內(nèi)的可見性��,并能夠在啟動過程早期加載��,以檢測啟動套件和根套件等威脅�����,這些威脅可以在用戶模式應(yīng)用程序之前加載���。
微軟提供系統(tǒng)事件回調(diào)����、文件過濾器驅(qū)動程序等功能���。
內(nèi)核驅(qū)動程序可為高吞吐量網(wǎng)絡(luò)活動等情況提供更好的性能�。
安全解決方案希望確保其軟件無法被惡意軟件�����、定向攻擊或惡意內(nèi)部人員禁用�,即使這些攻擊者具有管理員權(quán)限。為此����,Windows 在啟動早期提供早期啟動反惡意軟件(ELAM)����。
然而��,內(nèi)核驅(qū)動程序也需要權(quán)衡��,因為它們在 Windows 最可信的級別運行�����,增加了風(fēng)險��。微軟還致力于將復(fù)雜的 Windows 核心服務(wù)從內(nèi)核模式遷移到用戶模式�,例如字體文件解析。微軟建議安全解決方案提供商在可視性和防篡改需求與內(nèi)核模式操作風(fēng)險之間取得平衡��。例如�,他們可以使用在內(nèi)核模式下運行的最小傳感器進行數(shù)據(jù)收集和執(zhí)行,從而限制對可用性問題的暴露����。其余功能,如管理更新���、解析內(nèi)容和其他操作����,可以在用戶模式下隔離進行����。
在博客文章中,微軟還解釋了 Windows 操作系統(tǒng)的內(nèi)置安全功能�。這些安全功能提供了多層保護,防止惡意軟件和攻擊企圖��。微軟將通過微軟病毒計劃(MVI)與反惡意軟件生態(tài)系統(tǒng)合作�,利用 Windows 內(nèi)置安全功能進一步提高安全性和可靠性。
微軟目前計劃:
提供安全部署指南��、最佳實踐和技術(shù)�����,使安全產(chǎn)品更新更安全����。
減少內(nèi)核驅(qū)動程序訪問重要安全數(shù)據(jù)的需要。
通過最近宣布的 VBS 孤島等技術(shù)提供增強的隔離和防篡改功能���。
啟用零信任方法�,如高完整性認(rèn)證,該方法可根據(jù) Windows 原生安全功能的健康狀況確定機器的安全狀態(tài)�����。
截至 7 月 25 日���,受此問題影響的 Windows 電腦已超過 97% 恢復(fù)在線��,微軟現(xiàn)在正著眼于防止未來出現(xiàn)此類問題����。微軟 Windows 程序管理副總裁 John Cable 最近發(fā)表了一篇關(guān)于 CrowdStrike 問題的博客文章����,其中提到 Windows 必須優(yōu)先考慮端到端彈性的變化和創(chuàng)新,這正是客戶對微軟的期望�。
京公網(wǎng)安備 11010502041587號