Microsoft, CrowdStrike’ın 19 Temmuz’daki küresel Windows kesintisinin temel nedenine ilişkin analizini doğruladı ve gelecekte benzer olayların önlenmesine yardımcı olmak için kötü amaçlı yazılım önleme sağlayıcılarıyla çalışma planlarını özetledi.
Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı David Weston’ın 27 Temmuz tarihli blog yazısında, yazılım devi, kötü amaçlı yazılımlara karşı koruma sağlayıcılarının güncellemeleri daha güvenli bir şekilde yayınlamasına yardımcı olmak için dört girişimi özetledi:
- “Güvenlik ürünlerinde güncellemelerin daha güvenli bir şekilde gerçekleştirilmesini sağlamak için” dağıtım rehberliği, en iyi uygulamalar ve teknolojiler sunuyoruz.
- Çekirdek sürücülerinin güvenlik verilerine erişmesi ihtiyacını azaltır.
- Sanallaştırma tabanlı güvenlik (VBS) bölgeleri gibi teknolojilerle gelişmiş izolasyon ve kurcalamaya karşı koruma yetenekleri sağlamak.
- Windows yerel güvenlik özelliklerinin sağlığına bağlı olarak bir makinenin güvenlik durumunu belirleyebilen yüksek bütünlük doğrulaması gibi sıfır güven yaklaşımlarını etkinleştirmek.
Microsoft CrowdStrike’a yanıt olarak ayrıca, “güvenlik araçlarının ortaya çıkan tehditleri güvenli ve emniyetli bir şekilde tespit edip bunlara yanıt vermesi” için bir yol olarak Rust bellek güvenli programlama diline destek vurgulanıyor.
Weston’ın blog yazısı, muhtemelen tüm zamanların en büyük siber saldırısı olarak nitelendirilen ve dünya genelinde 8,5 milyon Windows bilgisayarının çökmesine neden olan hatalı CrowdStrike güncellemesinin son otopsi raporudur.
Microsoft, CrowdStrike’ın Kök Nedenini Doğruladı
Weston’ın blog yazısı, CrowdStrike’ın küresel “mavi ekran” kesintisinin nedenlerine ilişkin versiyonunu doğruluyor ve ardından Microsoft’un güncellemeleri daha güvenli hale getirme planlarına değiniyor.
Weston, “Gözlemlerimiz CrowdStrike’ın bunun CrowdStrike tarafından geliştirilen CSagent.sys sürücüsünde sınırların dışında okunan bir bellek güvenliği hatası olduğuna dair analizini doğruluyor,” diye yazdı. Bu tür hatalar “güvenli dağıtım uygulamalarıyla birleştirilmediğinde yaygın kullanılabilirlik sorunlarına yol açabilir.”
Csagent.sys dosyasının, kötü amaçlı yazılımlara karşı koruma sağlayan yazılımlar tarafından dosya oluşturma veya değiştirme gibi dosya işlemleri hakkında bildirim almak, indirmeleri ve diğer yeni dosyaları taramak için kullanılan bir dosya sistemi filtre sürücüsü olduğunu söyledi.
Dosya sistemi filtreleri ayrıca sistem davranışını izlemek için bir sinyal olarak da kullanılabilir. “CrowdStrike, bloglarında içerik güncellemelerinin bir kısmının, adlandırılmış boru oluşturma etrafındaki verilerle ilgili sensörün mantığını değiştirmek olduğunu belirtti,” diye yazdı. “Dosya Sistemi filtre sürücüsü API’si, sürücünün, kötü amaçlı davranışın tespitini sağlayabilecek adlandırılmış boru etkinliği (örneğin, adlandırılmış boru oluşturma) sistemde gerçekleştiğinde bir çağrı almasını sağlar.”
Çekirdek Kullanımı Önemlidir Ama Her Zaman Gerekli Değildir
Microsoft, çekirdek sürücülerinin sistem genelinde görünürlük sağlama, kullanıcı modu uygulamalarından önce yüklenebilen önyükleme kitleri ve kök kitleri gibi tehditleri tespit etmek için erken yükleme ve dosya oluşturma, silme veya değiştirme gibi olayları izleme yetenekleri nedeniyle çekirdek sürücülerini kullanma uygulamasını genel olarak savundu. Weston, Çekirdek etkinliğinin ayrıca sürücülerin dosya veya işlem oluşturma gibi etkinlikleri ne zaman engelleyeceğine karar vermeleri için geri aramaları tetikleyebileceğini ve birçok satıcının NDIS sürücü sınıfını kullanarak çekirdekte ağ bilgilerini toplamak için sürücüleri kullandığını söyledi.
Microsoft, ayrıca, kurcalamaya karşı dayanıklılık ve performans avantajlarından da bahsetti, ancak şunları ekledi: “Veri toplama ve analizinin çekirdek modu dışında çalışmak üzere optimize edilebileceği birçok senaryo var ve Microsoft, performansı iyileştirmek ve çekirdek modu dışında eşitliği sağlamak için ekosistemle ortaklık kurmaya devam ediyor.”
Weston, “Bugün güvenlik araçlarının güvenlik ve güvenilirliği dengelemesi mümkün,” diye yazdı. Güvenlik satıcıları, veri toplama ve uygulama için çekirdek modunda çalışan “asgari sensörleri” kullanabilir ve kullanılabilirlik sorunlarına maruz kalmayı sınırlayabilir.
Diğer önemli ürün işlevleri – güncellemeleri yönetme, içerik ayrıştırma ve diğer işlemler – “kurtarılabilirliğin mümkün olduğu kullanıcı modunda izole bir şekilde gerçekleşebilir. Bu, çekirdek kullanımını en aza indirirken sağlam bir güvenlik duruşu ve güçlü görünürlük sağlamanın en iyi uygulamasını gösterir.” Bu işlevlerin nerede çalışabileceğine dair şu görseli ekledi:
Windows Güvenliği ve İstikrarı için En İyi Uygulamalar
Weston ayrıca Windows güvenliğini ve kullanılabilirliğini artırabilecek bir dizi en iyi uygulamadan da bahsetti; bunların arasında en dikkat çeken ikisi İşletmeler İçin Uygulama Denetimi ve VBS bellek bütünlüğü oldu.
İşletmeler için Uygulama Denetimi (eski adıyla Windows Defender Uygulama Denetimi) yalnızca güvenilir ve iş açısından kritik uygulamalara izin vermek için kullanılabilir. “Politikanız, neredeyse tüm kötü amaçlı yazılımları ve ‘topraktan geçinme’ tarzı saldırıları kesin ve kalıcı bir şekilde önlemek için tasarlanabilir. Ayrıca, kuruluşunuz tarafından hangi çekirdek sürücülerine izin verildiğini belirterek yalnızca bu sürücülerin yönetilen uç noktalarınıza yükleneceğini kalıcı bir şekilde garanti edebilir.”
VBS, Windows çekirdeğini daha fazla korumak için belirli bir izin listesi politikasıyla bellek bütünlüğü sunar. Weston, “İşletmeler için Uygulama Denetimi ile birlikte bellek bütünlüğü, çekirdek kötü amaçlı yazılımları veya önyükleme kitleri için saldırı yüzeyini azaltabilir,” diye yazdı. “Bu ayrıca sistemlerdeki güvenilirliği etkileyebilecek sürücüleri sınırlamak için de kullanılabilir.”
Standart Kullanıcı olarak çalıştırmak ve Cihaz Sağlık Doğrulaması (DHA) kullanmak diğer önemli kontrollerdir.
Microsoft CrowdStrike Tepkisi MVI’yi İçerebilir
Microsoft, güvenilir uzantı noktalarını ve platform iyileştirmelerini tanımlamak ve müşterilerimizi en iyi şekilde nasıl koruyacağımızla ilgili bilgileri paylaşmak için Microsoft Virüs Girişimi (MVI) aracılığıyla üçüncü taraf güvenlik satıcılarıyla işbirliği yapmaktadır.
CrowdStrike kesintisinin ardından Windows güvenilirliğini ve kullanılabilirliğini iyileştirme çalışmalarına MVI’nin de dahil olacağı tahmin ediliyor.