Voorkomen is beter dan genezen, maar voor een wereldwijde Windows-storing is dat nu te laat. Om echter proactief op te treden tegen verder leed, organiseert Microsoft een Windows Endpoint Security Ecosystem Summit op 10 september op het eigen hoofdkantoor in Redmond.
Verschillende partners zijn van de partij, waaronder CrowdStrike. Verbeteringen aan cyberweerbaarheid en het beschermen van kritieke infrastructuur staan bovenaan de agenda. Na het incident van 19 juli is dat uiterst actueel.
Een inmiddels beruchte update aan Channel File 291 voor CrowdStrike’s security-sensor genaamd Falcon leidde op die vrijdag tot het uitvallen van naar schatting 8,5 miljoen Windows-apparaten wereldwijd. De schade is enorm, mede door geannuleerde vluchten, gemiste afspraken en disrupties in ziekenhuizen. IT’ers moesten dagen en soms weken handmatig rollbacks implementeren, veelal gecombineerd met een zoektocht naar de juiste BitLocker-key.
Oplossingen?
Een Microsoft-woordvoerder legde de schuld voor de IT-storing van 19 juli opvallend genoeg bij de Europese Commissie. Een besluit van dat bestuursorgaan in 2009 gaf vendoren toegang tot de kernel voor hun security-oplossingen. Dit was om te voorkomen dat alleen Microsoft op dit diepe niveau bescherming kon bieden. Aangezien er met deze toegang precies te detecteren is welke bestanden in het geheugen worden geladen, zijn de potentiële proactieve voordelen gigantisch vanuit een security-oogpunt.
Het nadeel is dat je systeem crasht als er iets misgaat op kernel-niveau. Vandaar de voorzichtigheid vanuit Microsoft. Na het EC-besluit in 2009 zorgde Windows Hardware Certification (WHQL) voor de garantie dat een kernel-driver veilig was.
Het CrowdStrike-incident ontstond echter niet door een verandering in de kernel-code, maar een configuratiewijziging in user-space (waar verreweg de meeste applicaties zich bevinden).
Lees ook: CrowdStrike verzet zich tegen “schimmige” concurrentie na storing
eBPF of anders?
Sinds het CrowdStrike-incident raden sommige experts eBPF aan, een tussenweg tussen kernel-toegang en user-space. Hiermee kan software contact maken met de kernel en diepgaande data inzien zonder hetzelfde risico dat het OS crasht. Specifiek gaat het om een VM die zich geïsoleerd binnen de kernel bevindt. Momenteel maakt alleen Linux gebruik van deze methodiek.
“eBPF-programma’s kunnen niet het hele systeem laten crashen omdat ze op veiligheid gecontroleerd worden door een software verifier en effectief in een sandbox draaien,” stelde Intel Fellow Brendan Gregg bijvoorbeeld. “Als de verifier onveilige code vindt, wordt het programma geweigerd en niet uitgevoerd.”
Andere experts stellen dat eBPF onvoorziene toenames in fouten kan genereren. Ook is het debuggen ervan lastig en zijn eBPF-programma’s net zozeer vatbaar voor kwetsbaarheden. Tevens zijn de mogelijkheden voor aanvallers vervolgens diepgaand, terwijl men normaliter niet zomaar een kernel-driver kan manipuleren.
Niet de oplossing
Naar verluidt is eBPF niet de silver bullet die Microsoft hoopt te introduceren. In plaats daarvan wil de techreus andere vendoren aansporen om zoveel mogelijk werk in user-mode te verrichten en van de kernel af te blijven. Zo blijft het bedrijf bij het standpunt dat het verdedigde voordat de Europese Commissie Microsoft dwong de kernel voor anderen open te stellen.
Beluister ook onze Techzine Talks-aflevering over het CrowdStrike-incident: