Nadat een bug in een CrowdStrike-update miljoenen Windows-computers lamlegde, wil Microsoft herbekijken of externe partijen wel toegang op kernel-niveau nodig hebben in het OS.
Beveiligingsspecialist CrowdStrike draagt het gros van de verantwoordelijkheid voor de bug in een update die vorige week ongeveer 8,5 miljoen Windows-systemen deed crashen, en zo’n vijf miljard dollar aan schade zou berokkend hebben. Toch speelt ook Microsoft een hoofdrol in het verhaal. De Windows-bouwer maakte geen fouten, maar de impact van de CrowdStrike-bug is een rechtstreeks gevolg van de kernel-toegang van de software.
Goede reden, grote gevolgen
Microsoft onderzoekt nu of het nog wel wijs is om derde partijen zoals CrowdStrike toegang op kernelniveau te geven. Kernel-drivers vervullen een belangrijke taak. Ze laten software immers toe om met de hoogst mogelijke beveiligingsprivileges te draaien binnen Windows.
Voor beveiligingssoftware zijn die privileges belangrijk, aangezien ze meehelpen om systemen te vrijwaren van bedreigingen. Zoals de bug vorige week echter toonde, heeft kernel-toegang een keerzijde. Loopt er iets mis, dan loopt het meteen grondig mis.
Belofte aan de EU
Microsoft geeft CrowdStrike en andere beveiligingsbedrijven niet zomaar toegang tot API’s op kernel-niveau. Redmond kan zelf van die toegang gebruik maken voor eigen beveiligingsoplossingen. Het bedrijf beloofde in 2009 aan de EU om derden dezelfde toegang te bieden, om zo eerlijke concurrentie in de markt van de Windows-beveiliging te garanderen.
In een blogpost merkt Microsoft nu op dat de tijden veranderd zijn, en Windows mee moet veranderen. Verandering en innovatie is nodig om weerbaarheid in te bouwen, klinkt het. Concreet wil Microsoft kernel-privileges afbouwen, maar die wel vervangen door alternatieven zodat partners nog steeds hun eigen beveiligingstools kunnen bouwen.
Nieuwe technologie
Zogenaamde VBS-enclaves kunnen een oplossing zijn. Die bieden een geïsoleerde omgeving aan voor software zoals CrowdStrike, zodat die met dezelfde veiligheidsgaranties kan draaien als een kernel mode-toepassing. Malware kan met andere woorden niet zo min rommelen met software in een VBS-enclave als code op kernel-niveau.
Loopt er iets mis met een update voor code in de enclave, is de impact in theorie echter veel minder groot. De beveiligingssoftware die geconfronteerd wordt met een bug, kan zo crashen zonder het hele besturingssysteem met zich mee te sleuren.
Gezien de impact van de CrowdStrike-bug, lijkt het waarschijnlijk dat Microsoft voor Windows de sleutels van de kernel terugwil. Alternatieven die in 2009 nog niet bestonden, moeten ervoor zorgen dat de Windows-beveiligingsmarkt even competitief blijft.