Microsoft werkt aan nieuwe Windows-beveiligingsfuncties na CrowdStrike-incident
Het desastreuze CrowdStrike-incident zorgde er in juli voor dat miljoenen Windows-computers wereldwijd crashten. Ze kregen te maken met een Blue Screen of Death (BSOD), die niet eenvoudig te verhelpen bleek. Waar eerst werd gedacht aan softwareproblemen bij Microsoft, werd al snel duidelijk dat beveiligingssoftware van CrowdStrike de Windows-crashes veroorzaakte. Die crashes bleken uiteindelijk te herleiden tot een recente update van CrowdStrike. Hoewel updates van software doorgaans geen BSOD’s veroorzaken, is CrowdStrike geen ‘gewone’ software.
CrowdStrike draait namelijk op kernelniveau om aanvullende rechten te krijgen en systemen beter te beveiligen. De kernel is het hart van elk besturingssysteem, dus als er een fout optreedt die gelinkt is aan de kernel, kan er onherstelbare schade ontstaan. Microsoft hintte in de weken na het incident al op het ‘beperken van die kerneltoegang. Microsoft heeft daar deze week meer over bekendgemaakt tijdens zijn ‘security summit’.
Microsoft verklaarde dat het de “benodigdheden en belangrijkste uitdagingen” voor het creëren van een beveiligingsplatform heeft besproken met partners als CrowdStrike, Sophos en Trend Micro. Dat platform moet ervoor zorgen dat beveiligingssoftware buiten de kernelmodus draait; daarbij is het de bedoeling dat de bedrijven wel hetzelfde beveiligingsniveau kunnen bieden. Er wordt ook gekeken naar mogelijke prestatiebeperkingen van het draaien van software buiten de kernel, evenals anti-sabotagebeveiliging.
Roep vanuit beveiligingspartners
Microsoft sprak tijdens de presentatie niet expliciet over het afsluiten van kerneltoegang. Het aangekondigde beveiligingsplatform lijkt dat echter deels te bereiken. Voorlopig staat het idee van zo’n platform nog in de kinderschoenen. Toch is het niet de eerste keer dat er bij de softwaregigant over wordt nagedacht. In 2006 wilde Microsoft, met Windows Vista, de toegang tot de kernelmodus verhinderen met een aanvullende softwarelaag.
Een succesvolle tussenkomst van beveiligingsbedrijven en overheden leidde er uiteindelijk toe dat dat plan van tafel verdween. Achttien jaar later liggen de kaarten echter heel anders, en zijn het juist de ecosysteempartners, zoals CrowdStrike, die om het beveiligingsplatform vragen. Volgens Sophos-CEO Joe Levy is er een “open discussie” ontstaan over aanpassingen die zowel de robuustheid van Windows als die van endpoint-beveiligingsoplossingen versterken.
“Als volgende stap zal Microsoft doorgaan met het ontwerpen en ontwikkelen van deze nieuwe platformmogelijkheid, met input en samenwerking van ecosysteempartners, om het doel van verbeterde betrouwbaarheid te bereiken zonder de beveiliging op te offeren”, aldus David Weston, vice-president Enterprise en OS-beveiliging bij Microsoft.
Bevoorrechte toegang tot de kernel
Cloudflare-CEO Matthew Prince bekijkt de situatie echter anders en noemt het zorgelijk dat Microsoft deze plannen uitwerkt. “Een wereld waarin alleen Microsoft effectieve endpointbeveiliging kan aanbieden, is geen veiligere wereld”, zegt Prince. De CEO voegt toe dat de softwaregigant zelf wél toegang houdt tot de kernel. Die toegang kan het volgens Prince misbruiken om effectievere beveiligingssoftware of andere toepassingen met kerneltoegang aan te bieden.
Juist om die reden bemoeiden overheden zich in 2006 met het afsluiten van de kerneltoegang. De tijd zal uitwijzen hoe Microsofts hernieuwde poging uitpakt.
