През последните 10 дни CrowdStrike и Microsoft работиха денонощно, за да помогнат на клиентите, засегнати от масовия проблем с BSOD в Windows, причинен от дефектна актуализация на CrowdStrike. Наред с предоставянето на начини за отстраняване на проблема CrowdStrike вече публикува своя предварителен преглед след инцидента за този срив. Според техния доклад BSOD е бил причинен от проблем с безопасността на паметта, при който драйверът CSagent е извършил нарушение на достъпа при четене.
Вчера Microsoft публикува своя подробен технически анализ на този срив, причинен от драйвера на CrowdStrike. Анализът на Microsoft потвърди констатациите на CrowdStrike, че проблемът се дължи на грешка в безопасността на паметта при четене извън границите в драйвера CSagent.sys на CrowdStrike. Модулът csagent.sys е регистриран в компютъра с Windows като драйвер за филтриране на файловата система, за да получава известия за файлови операции, включително за създаване или промяна на файл. Това позволява на продуктите за сигурност, включително CrowdStrike, да сканират всеки нов файл, записан на диска.
Когато се случи инцидентът, имаше много критики към Microsoft, че позволява на разработчиците на софтуер от трети страни достъп до ниво ядро. В публикацията в блога Microsoft обясни защо предлага достъп на ниво ядро за продукти за сигурност.
Драйверите на ядрото обаче са свързани и с компромис, тъй като се изпълняват на най-надеждното ниво на Windows, което увеличава рисковете. Microsoft също така работи по преместването на сложни основни услуги на Windows от ядрото в потребителски режим, като например обработката на файлове с шрифтове.
Компанията препоръчва на доставчиците на решения за сигурност да балансират между нужди като видимост и устойчивост на подправяне и риска от работа в режим на ядрото. Например те могат да използват минимални сензори, които работят в режим на ядрото за събиране и прилагане на данни, като ограничават излагането на проблеми с наличността. Останалите функции, като управление на актуализации, разбор на съдържание и други операции могат да се извършват изолирано в потребителски режим.
В публикацията в блога Microsoft обяснява и вградените функции за сигурност на операционната система Windows. Тези възможности за сигурност предлагат нива на защита срещу зловреден софтуер и опити за експлоатация в Windows. Майкрософт ще работи с екосистемата за борба със зловредния софтуер чрез инициативата Microsoft Virus Initiative (MVI), за да се възползва от вградените функции за сигурност на Windows, за да повиши допълнително сигурността заедно с надеждността.
Въпреки че над 97% от компютрите с Windows, засегнати от този проблем, са отново онлайн към 25 юли, Microsoft обещава, че ще работи, за да предотврати подобни проблеми в бъдеще.
Снимка: Unsplash
Виж още: Скоро ще получавате локални препоръки в Google Play Store според местоположението си