Il 19 luglio 2024, CrowdStrike ha rilasciato un aggiornamento della configurazione del suo software Falcon per i sistemi Windows. A causa di un errore logico, quell’improvvido intervento ha provocato un arresto anomalo del sistema operativo generando una schermata blu (BSoD, Blue Screen of Death) su un vasto numero di workstation aziendali e sistemi server in tutto il mondo (le stime parlano di circa 8,5 milioni di macchine).
Sappiamo che l’incidente ha interessato le operazioni di compagnie aree, aeroporti, banche e marcati azionari, ospedali e servizi sanitari, emittenti televisive, oltre a molteplici aziende private impegnate in svariati settori.
Il sensore Falcon di CrowdStrike è un componente software installato sui sistemi operativi Windows, macOS e Linux per fornire protezione in tempo reale contro le minacce informatiche. È di fatto un “agent” che riceve regolarmente aggiornamenti della configurazione, chiamati “channel file“, per adattarsi alle ultime minacce. L’aggiornamento difettoso di luglio 2024 (channel file 291) conteneva dati malformati che, quando elaborati dal sensore Falcon, hanno portato a un utilizzo di dati non inizializzati. Si è quindi manifestato un problema da wild pointer, un puntatore facente riferimento a una posizione di memoria non valida o non inizializzata. Quando un programma tenta di accedere alla memoria puntata da un wild pointer, il comportamento risultante è imprevedibile e può causare crash o corruzione dei dati. Il kernel Windows è quindi andato in panico, determinando la comparsa della schermata blu e il riavvio del sistema colpito.
Microsoft mette al vaglio nuove soluzioni per ripristinare i sistemi Windows che non si avviano più
Durante il Windows Endpoint Security Ecosystem Summit, un evento che il 10 settembre 2024 ha riunito un’ampia gamma di fornitori di sicurezza per endpoint e rappresentanti governativi di USA ed Europa, Microsoft ha chiarito la sua posizione. L’obiettivo comune è stabilire un insieme di best practice condivise che possano essere adottate da tutto l’ecosistema per garantire aggiornamenti sicuri e privi di rischi. Tra i temi discussi, vi è stato l’impiego di rollout graduali e misurati su endpoint eterogenei, con la possibilità di effettuare rollback in caso di problematiche.
Il problema, diciamo noi, è che quando si presenta un problema che porta al crash del sistema all’avvio dello stesso, come accaduto nel caso di CrowdStrike, l’annullamento dell’aggiornamento potrebbe non essere così semplice. Abbiamo infatti spiegato come correggere un problema che impedisce l’avvio di Windows con WinPE più PXE. La disinstallazione degli aggiornamenti al boot, quando Windows non si avvia, vale soltanto per le patch Microsoft ma non funziona per il software di terze parti.
Durante il simposio settembrino, Microsoft e gli altri partecipanti hanno parlato della necessità di incrementare i test di compatibilità tra le varie configurazioni, migliorare la condivisione delle informazioni sui prodotti in fase di sviluppo e sul loro stato di salute una volta sul mercato, e perfezionare le procedure di risposta agli incidenti, ottimizzando il coordinamento e i meccanismi di recupero. Tutto corretto, ma il problema di fondo resta: è necessario implementare un meccanismo che consenta di annullare le ultime modifiche applicate sul sistema Windows, non solo quelle applicate a valle dell’installazione delle patch Microsoft.
Soluzioni per la sicurezza estromesse dal kernel di Windows
L’incidente CrowdStrike di luglio 2024 ha fatto suonare un campanello d’allarme. Ecco perché, in prospettiva, Microsoft sembra intenzionata a impedire l’accesso al kernel di Windows da parte delle soluzioni di sicurezza sviluppate da terze parti.
Gli ingegneri software dell’azienda di Redmond sono determinati a mettere a disposizione degli sviluppatori in ambito cybersecurity una piattaforma basata su funzionalità di sicurezza che, tuttavia, sono esterne al kernel.
La ratio è evidente: evitare che un aggiornamento problematico, applicato su un software di sicurezza realizzato da soggetti terzi, possano provocare problemi sul kernel di Windows e, di conseguenza, portare alla visualizzazione di schermate blu.
Se da un lato, Microsoft corre a proteggere Windows, dall’altro blindare il kernel ed esporre agli antimalware un set di funzionalità deciso a tavolino potrebbe limitare significativamente la visibilità sul sistema e il raggio d’azione delle soluzioni di sicurezza progettate e sviluppate da terzi.
Le reazioni dell’industria alla proposta Microsoft
Drew Bagley, VP & Counsel, Privacy e Cyber Policy, CrowdStrike, ha affermato: “apprezziamo l’opportunità di partecipare a queste discussioni cruciali con Microsoft e con i nostri colleghi del settore”. Anche Joe Levy, CEO di Sophos, ha elogiato l’iniziativa di Microsoft, definendola un passo avanti verso una maggiore resilienza del sistema per la protezione degli endpoint.
Non tutti i partecipanti, tuttavia, si dichiarano altrettanto entusiasti. Ad esempio, Matthew Prince, CEO di Cloudflare, ha espresso i suoi timori: “un mondo in cui solo Microsoft può fornire una sicurezza efficace per gli endpoint non è un mondo sicuro“.
Prince ha criticato Microsoft per aver riservato ai propri prodotti un accesso privilegiato al kernel, limitando al contempo l’accesso ai fornitori esterni. Il problema è infatti tutto qui.
Credit immagine in apertura: Microsoft Copilot Designer