Conclusiones del fracaso global de CrowdStrike / Sudo Null IT News
Como sabes, ocurrió el 19 de julio de 2024.
con actualización de software
para proteger las computadoras (
,
).
Actualización de configuración
provocó un error de seguridad al leer los límites de la memoria en el controlador ELAM
CSagent.sys
. Dado que funciona a nivel del kernel de Windows, millones de PC entraron en BSOD.
El número de víctimas se estimó oficialmente en 8,5 millones:
Microsoft explica que esta es la cantidad de informes recibidos. En realidad hay muchas más víctimas. Los bancos se vieron gravemente afectados y aerolíneas. En particular, Delta. Las aseguradoras estimaron el daño total a la economía global por el error en 5.400 millones de dólares.
¿Cuál es el principal problema del “software de seguridad” con controladores del kernel de Windows?
Controladores del núcleo
Muchos programas de seguridad, incluidos los antivirus, utilizan controladores de kernel. Hay varias razones para esto.
Primero, los controladores del kernel brindan visibilidad del proceso en el sistema y la capacidad de iniciar con prioridad para detectar amenazas específicas, como bootkits y rootkits. Además, Microsoft proporciona una rica funcionalidad, como devoluciones de llamadas del sistema para crear procesos y subprocesos, así como controladores de filtro que pueden monitorear la creación, eliminación o modificación de archivos. Se pueden realizar devoluciones de llamada del controlador desde el kernel para bloquear acciones como la creación de archivos o procesos. Muchos desarrolladores también usan controladores para recopilar diversa información de red en el kernel usando Clase de conductor NDIS.
Foto del Aeropuerto Internacional de Denver, fuente
La segunda razón es el rendimiento. Por ejemplo, el análisis y la recopilación de datos de actividad de la red a nivel del kernel es más rápido. Hay muchos escenarios en los que la recopilación y el análisis de datos se pueden optimizar para ejecutarse fuera del kernel, y Microsoft continúa trabajando con los desarrolladores para mejorar el rendimiento y proporcionar mejores prácticas para lograr la paridad cuando se ejecuta fuera del modo kernel.
La tercera razón para cargar en modo kernel es la resistencia del programa a la piratería. Los desarrolladores de seguridad quieren estar seguros de que el malware no desactivará su software, incluso si esos atacantes tienen privilegios de administrador. También quieren que sus controladores se carguen lo antes posible para poder observar los eventos del sistema en el menor tiempo posible. Por esta razón, Windows tiene un mecanismo para ejecutar controladores marcados como Antimalware de lanzamiento anticipado (ELAM)al comienzo del proceso de arranque. Específicamente, CrowdStrike firmó su controlador CSboot como ELAM, lo que le permite cargarlo temprano en el proceso de arranque.
En general, los proveedores de seguridad deben encontrar un compromiso cuando se trata de controladores del kernel. Los controladores del kernel proporcionan las características anteriores a costa de la estabilidad. Debido a que los controladores del kernel se ejecutan en la capa más confiable de Windows, los desarrolladores de seguridad deben equilibrar cuidadosamente sus necesidades, como la visibilidad y la resistencia a manipulaciones, con los riesgos de ejecutar en modo kernel.
Cualquier código que se ejecute a nivel del kernel requiere pruebas cuidadosas porque no puede fallar y reiniciarse como una aplicación de usuario normal. Esta es la regla para todos los sistemas operativos.
Se puede lograr un equilibrio entre seguridad y confiabilidad minimizando la cantidad de código en modo kernel:
Un ejemplo de software de seguridad con un equilibrio entre seguridad y confiabilidad, fuente: microsoft
Windows proporciona varios enfoques para proteger el modo de usuario de interferencias no autorizadas: este энклавы Seguridad basada en virtualización (VBS) y procesos protegidos. Los desarrolladores pueden utilizarlos para proteger procesos clave en su software.
Para rastrear eventos, Windows también le permite usar eventos ETW e interfaces de modo de usuario como Interfaz de escaneo antimalware. Estos mecanismos sólidos se pueden utilizar para reducir la cantidad de código del núcleo en las soluciones de seguridad, logrando un equilibrio entre seguridad y confiabilidad.
Conclusiones
Puede mejorar la seguridad de Windows con herramientas, funciones y configuraciones integradas. Algunos están configurados con máxima seguridad de forma predeterminada, mientras que otros no. Microsoft promete
Aumentar el nivel de seguridad predeterminado de Windows 11
que actualmente incluye varias características y configuraciones como
,
Seguridad basada en virtualización (VBS)
,
Integridad del código protegido por hipervisor (HVCI)
etc. La lista de estas funciones aumentará. Microsoft también
como un idioma más seguro.
Anteriormente te contamos cómo fortalecer Windows Defender al máximo.
Pero la principal conclusión es que los antivirus y otros “software de seguridad” introducen nuevos vectores de ataque en el sistema, ya que funcionan a nivel del núcleo con privilegios elevados. Microsoft cree que los desarrolladores de software de seguridad no lo están haciendo correctamente. Como resultado, los mismos antivirus pueden hacer más daño que bien.
