Microsoft пообещала улучшить алгоритмы обновлений безопасности Windows после глобального инцидента с CrowdStrike

Microsoft на закрытом специальном саммите по безопасности Windows Endpoint Security Ecosystem Summit пообещала улучшить алгоритмы обновлений безопасности Windows и пока не планирует закрывать антивирусным инструментам сторонних производителей доступ к ядру ОС после глобального инцидента с CrowdStrike.

Числа в сбое из-за ошибки в ПО CrowdStrike: 78 минут (19 июля в 12:09 AM ET старт, спустя 1 час и 18 минут разработчики убрали доступ к этому обновлению, но было поздно) в интернете с серверов CrowdStrike распространялся некорректный файл размером 40,04 КБ для ИБ-инструмента Falcon Sensor, который привёл к появлению BSOD на десятках миллионов на ПК с Windows 10 и 11.

Оказалось, что программный датчик ПО CrowdStrike ожидал 20 полей ввода, в то время как обновление предоставило 21 поле ввода. В этом случае несоответствие привело к чтению памяти за пределами допустимого диапазона, что спровоцировало сбой в работе ИБ-системы и появление BSOD на миллионах ПК, серверов, киосков, видеоэкранах на Windows.

В CrowdStrike признали, что IT-катастрофа произошла из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри CrowdStrike разработчики защитной системы обнаружить не смогли. Руководство CrowdStrike пообещало более тщательно тестировать обновления, улучшить обработку ошибок в коде и реализовать поэтапное развёртывание патчей, чтобы избежать повторения этой IT-катастрофы.

Сбой в работе миллионов ПК на базе операционной системы Windows мог случиться из-за договора между Еврокомиссией и компанией Microsoft, согласно которому разработчикам ПО информационной безопасности предоставляется доступ к ядру ОС.

Microsoft сообщила, что рассматривает несколько вариантов повышения стабильности своих систем и не исключает полной блокировки доступа к ядру Windows — вариант, который, как опасаются некоторые конкуренты, поставит их программное обеспечение в невыгодное положение по сравнению с внутренним продуктом компании Microsoft Defender. Microsoft также решила потребовать от поставщиков решений кибербезопасности ввести новые процедуры тестирования вместо адаптации самой системы Windows.

На саммите Windows Endpoint Security Ecosystem Summit представители IT-компаний обсудили с возможное решение проблемы с некорректными обновлениями антивирусов. По итогам саммита в Microsoft решили сосредоточиться на разработке новой платформы, которая предоставляет расширенные возможности безопасности вне режима ядра. Для этого необходимо разработать механизмы защиты от несанкционированного доступа для программ безопасности и определить требования к сенсорам безопасности для антивирусного мониторинга. В Microsoft подчеркнули долгосрочный характер проекта по разработке нового уровня безопасности Windows в тесном сотрудничестве с партнёрами по экосистеме и производителями решений по ИБ.