Dalam pergeseran kebijakan penting dengan implikasi selama satu dekade untuk keamanan siber, Microsoft pada dasarnya mengarsipkan kembali keamanan Windows dengan mengusir perangkat lunak antivirus pihak ketiga dari kernel yang dilindungi sistem operasi. Langkah ini merupakan respons langsung dan sistemik terhadap pemadaman IT global 2024 yang sangat besar, yang dipicu oleh pembaruan yang salah dari vendor keamanan crowdstrike dan membawa jutaan komputer ke penghentian penggilingan.
Mandat baru ini adalah pilar sentral dari”inisiatif ketahanan Windows,”sebuah program yang terperinci dalam a Posting di blog resmi . Dengan memaksa produk keamanan berjalan dalam”mode pengguna”seperti aplikasi umum, Microsoft sedang membangun firewall antara OS inti dan mitra keamanannya. Tujuannya adalah untuk mencegah pengemudi yang cacat untuk kembali menyebabkan”layar biru”(BSOD) di seluruh sistem yang mendefinisikan krisis tahun lalu. Selama beberapa dekade, perangkat lunak keamanan telah diberikan akses kernel yang mendalam dan istimewa untuk secara efektif memantau ancaman; Microsoft sekarang menyatakan bahwa risiko integrasi itu lebih besar daripada hadiahnya.
Perubahan memprioritaskan stabilitas seluruh sistem, secara fundamental mengubah paradigma keamanan yang telah ada untuk generasi pengguna PC. Dalam sebuah pernyataan, David Weston, wakil presiden Microsoft untuk Enterprise dan OS Security, membingkai perubahan sebagai evolusi yang tidak dapat dihindari.”Ketahanan bukan opsional-itu adalah keharusan strategis.”Inisiatif ini menandakan era baru di mana ketahanan, bukan hanya deteksi ancaman, adalah tolok ukur utama untuk keamanan pada sistem operasi desktop yang paling dominan di dunia.
apologi publik pada Linkedin , yang bertingkat, bertingkat, menempel, bertingkat, bertingkat, bertingkat, bertingkat, bertingkat, target=”_ blank”> semua orang terkena dampak.”Tetapi kerusakan telah terjadi, mengatur panggung untuk perhitungan teknis dan badai korporat.
hantu di kernel
Spekulasi awal dengan cepat memberi jalan ke forensik teknis yang tepat. While CrowdStrike initially acknowledged “problematic content data,”a deeper examination by Microsoft pointed to cacat yang lebih mendasar. Investigasi, menggunakan laporan windows crash dump, mengidentifikasi kesalahan keselamatan memori kritis-“pembacaan pelanggaran akses di luar batas”-dalam pengemudi mode kernel crowdstrike, csagent.sys. Pengemudi kernel beroperasi dengan hak istimewa tertinggi di jantung sistem operasi, yang berarti kesalahan apa pun bisa menjadi bencana. href=”https://www.crowdstrike.com/wp-content/uploads/2024/08/channel-file-291-incident-root-case-analysis-08.06.2024.pdf”target=”_ blank”> analisis akar Dinas Final, gran, gran, gran, gran, gran, gran, gran>, gran>, gran, Coding, MISLING PENYEBAB AKURAN . Komponen dalam pengemudi dibangun untuk mengharapkan 21 input data tetapi hanya diberikan 20 oleh pembaruan, menyebabkan pengemudi mencoba membaca dari lokasi memori yang tidak valid dan secara instan menghancurkan seluruh sistem.
Kejadian ini telah memaksa percakapan yang sulit tentang pertukaran antara keamanan dan stabilitas. Sementara mandat baru Microsoft sedang diadopsi secara luas, beberapa ahli keamanan telah menyatakan kehati-hatian. Mereka berpendapat bahwa saat pindah ke mode pengguna meningkatkan stabilitas, itu dapat mengurangi visibilitas mendalam bahwa akses kernel menyediakan untuk mendeteksi ancaman generasi berikutnya yang sangat canggih. Pada tahun 2024, perusahaan keamanan ESET menyuarakan kekhawatiran ini, yang menyatakan, “Masih sangat penting bahwa akses kernel tetap menjadi pilihan untuk digunakan oleh produk keamanan siber.”