Wskutek globalnej awarii serwerów Windows, z winy programistów systemu CrowdStrike, którzy w trzecim kwartale 2024 wypuścili wadliwą aktualizację – uszkodzeniu uległ sterownik monitorowania przepływu informacji odpowiadający za skanowanie antywirusowe i ochronę w czasie rzeczywistym. Doszło do licznych przestojów systemów napędzanych produktami Windows i Windows Server w szpitalach, na lotniskach, sklepach wielkopowierzchniowych itp.
Everyone is talking about #Microsoft #Crowdstrike and forgot about this video of #WEF Klaus Schwab in 2020 openly telling the world that they are planning a world wide #Cyberattack to bring the entire globe to a complete stop.#India #America #Germany #Japan #Russia #Computer pic.twitter.com/J5WdGM6W2g
— pradhyumn sharma (@pradhyu78651514) July 19, 2024W następstwie tego zdarzenia awarii uległo około 8,5 miliona urządzeń – szacuje Microsoft:
„We currently estimate that CrowdStrike’s update affected 8.5 million Windows devices, or less than one percent of all Windows machines.”
Analiza wadliwej aktualizacji CrowdStrike
W odpowiedzi na ten globalny incydent postarałem się wówczas o analizę tego zdarzenia oraz o skomentowanie jego następstw.
Microsoft zapowiedział niedawno, iż pracuje nad pewnym rozwiązaniem, które miałoby polegać na „utwardzeniu”, w pewnym sensie (czyt. utrudnieniu), korzystania z jądra systemu Windows. Nie jest to wcale oczywiste, ponieważ jak wyjaśniałem w poprzednim artykule, firmę Microsoft wiążą umowy z partnerami – dostawcami rozwiązań cyberbezpieczeństwa – Unia Europejska wymuszała na Microsofcie, aby nie utrudniał stronom trzecim dostępu do niskiego poziomu systemu Windows w celu – innymi słowy – zagwarantowania równych praw technologicznych korzystania z API systemu, by na takich samych zasadach producenci rozwiązań ochronnych mogli realizować bezpieczeństwo, tak jak robi się to w oprogramowaniu Microsoft Defender.
Kolejne kroki Microsoftu – Windows Resiliency Initiative
Security by Obscurity – bezpieczeństwo poprzez zaciemnienie (utrudnienie dostępu do kernela)
Windows Resiliency Initiative to dopiero rozwijający się projekt. Dotyczy zarówno Windows, jak i Windows Server. Ma polegać na „zwiększeniu odporności Windows” w kontekście awarii i ataków cybernetycznych – o czym też pisaliśmy w artykule na temat nowych zabezpieczeń Windows 11.
Inicjatywa zakłada, iż użytkownik/administrator będzie w stanie przywrócić Windows do pełnej funkcjonalności sprzed wystąpienia incydentu. Nie będzie to coś w stylu kopii zapasowej, ale raczej przechowywanych zrzutów pewnych fragmentów systemu, niezainfekowanych, bez wprowadzonych szkodliwych zmian.
Microsoft nie podał konkretnej daty, od kiedy pełne wdrożenie tej inicjatywy będzie miało miejsce, najprawdopodobniej pewne funkcjonalności będą wdrażane stopniowo, jak zapowiedziane tzw. Quick Machine Recovery, czyli nowy mechanizm odzyskiwania systemu Windows bazujący na dostępnym już Windows Recovery Environment.
Windows Recovery Environment - wybierz to, co chcesz zrobić w przypadku awarii systemu.
Jak już wspomniałem, dodatkowym, uzupełniającym mechanizmem obronnym będzie tzw. Ochrona Administratora: użytkownik ze standardowymi uprawnieniami będzie mógł na czas instalowania aplikacji uzyskać większe prawa, autoryzując się dzięki Windows Hello – po zainstalowaniu się aplikacja utraci dostęp do podwyższonych uprawnień.
Z kolei interesujące informacje podaje TheVerge: mianowicie Microsoft współpracuje z partnerami z MVI (Microsoft Virus Initiative), aby jednak przenieść skanowanie antywirusowe poza jądro, by nie dopuścić do podobnej sytuacji, kiedy CrowdStrike miał nieograniczony dostęp do systemu, co wpłynęło na globalne awarie. Już w tym roku członkowie MVI będą mieć dostęp do wstępnych założeń i możliwość przetestowania nowych zabezpieczeń Microsoft.
Powoli wprowadzane zmiany mogą być częścią systemu Windows 12, który może trafić na rynek już na jesień 2025 roku.
