Een jaar na het Crowdstrike-fiasco dat miljoenen pc’s deed crashen, sluit Microsoft externe toegang tot de Windows-kernel om te vermijden dat het nog eens kan gebeuren.
Wat al een jaar in de lucht hing, is nu ook een feit. Microsoft staat op het punt een nieuw endpointbeveiligingsplatform uit te rollen voor Windows, dat drastisch verandert hoe beveiligingssoftware die je op je pc installeert, zal functioneren. De toegang tot de Windows-kernel wordt namelijk afgesloten voor externe partijen.
Om te begrijpen waarom Microsoft dit doet, moeten we de klok elf maanden terugspoelen. Een mislukte Crowdstrike-update doet wereldwijd 8,5 miljoen Windows-pc’s simultaan crashen, met totale chaos en grote financiële schade tot gevolg. De update kon zo’n grote gevolgen hebben omdat de software van Crowdstrike, en andere leveranciers, tot diep in Windows-kernel geworteld zit.
lees ook
Crowdstrike CTO aanvaardt ‘Most Epic Fail’-trofee op hackerconferentie Def Con
Salomonsakkoord
Externe partners uit de kernel schoppen, was echter geen evidentie. Beveiligingssoftware is maar zo effectief omdat het hoge privileges krijgt in Windows, maar het heeft een duidelijke keerzijde als het verkeerd loopt. Bovendien moest Microsoft externe toegang onder druk van de EU toelaten. Zo moest Microsoft naar een nieuwe oplossing zoeken die zowel partners als regulatoren tevreden houdt.
In een interview met The Verge benadrukt Microsoft dat het nieuwe systeem in samenwerking met beveiligingsleveranciers werd ontwikkeld en hen niets wordt opgelegd. Van sommige partijen kreeg Microsoft papers ‘tot honderden pagina’s lang’ met suggesties, getuigt hoofd van Windows-beveiliging David Weston.
De bedoeling is om externe software in een geïsoleerde omgeving te stoppen waar het met dezelfde privileges kan draaien als een kernel-toepassing, zonder effectief code in de kernel te moeten draaien. Microsoft gelooft dat dit systeem breder zal kunnen worden toegepast dan beveiliging. Partners krijgen nu de kans het systeem in preview te testen en feedback te bezorgen, inclusief Crowdstrike aan wie alles te danken is.
Les geleerd
Een jaar na het Crowdstrike-fiasco rolt Microsoft nog nieuwe beveiligingstoepassingen uit voor Windows. De ‘snelle herstelmodus’ stuurt je apparaat door naar een beveiligde omgeving wanneer het niet kan starten, waarin het toegang krijgt tot een netwerk om diagnostische gegevens naar Microsoft te verzenden. “Dit hadden we graag vorig jaar al gehad”, zegt Weston aan The Verge.
De meest zichtbare verandering voegt Microsoft door in het iconische BSOD-scherm. Dat zal binnenkort geen blue screen meer zijn, maar zwart kleuren.