[English]Microsoft hat erste Pläne skizziert, wie sich Windows-Systeme so absichern lassen, dass ein kaputtes Update einer Endpunkt-Sicherheitslösung nicht das ganze Betriebssystem in den Abgrund reißt. Mittelfristig sollen die Funktionen der Endpunkt-Sicherheitslösungen nicht mehr mit Treibern im Windows-Kernel mitlaufen, sondern isoliert werden. Das ist die Reaktion auf den CrowdStrike-Vorfall, bei dem 8,5 Millionen Windows-Systeme nach einem verunglückten Software-Update ausfielen.
Anzeige
Rückblick auf CrowdStrike
Zum 19. Juli 2024 kam es (ab den frühen Morgenstunden) weltweit zu Ausfällen von um die 8,5 Millionen Windows-Systemen, auf denen die EDR-Software CrowdStrike Falcon installiert war. CrowdsStrike Falcon ist eine weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte.
Die Ursache war ein vom Hersteller ausgerolltes Update für die CrowdsStrike Falcon Sensoren. In Folge wurde auf den betroffenen Systemen ein Bluescreen of Death (BSOD) (mit der Fehlermeldung PAGE_FAULT_IN_NONEPAGED_AREA) ausgelöst. Verantwortlich war die Datei csagent.sys und eine per Update verteilte, fehlerhafte sys-Datei, die von diesem Treiber geladen wurde.
Windows-Systeme, die für einen automatischen Neustart nach einem fatalen Fehler konfiguriert waren, verfielen in eine BSOD-Restart-Schleife. Systeme, die auf dem BSOD verharrten, zeigten den berühmten blauen Bildschirm (BSOD). Ich hatte ausgiebig über dieses Ereignis berichtet und eine grobe Analyse des Sachverhalts im Beitrag Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten veröffentlicht.
Microsoft reagiert nun
Nach dem CrowdStrike-Vorfall, bei dem 8,5 Millionen Windows-Systeme nach einem verunglückten Software-Update ausfielen, deutete sich an, dass Microsoft an seiner Windows-Kernelarchitektur Änderungen vornehmen will, um solchen "Kollateralschäden" vorzubeugen (ich hatte dies im Beitrag Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen angedeutet).
Anzeige
Zum 12. September 2024 hat David Weston, Vice President Enterprise and OS Security bei Microsoft, nun erste Pläne in dieser Richtung im Beitrag Taking steps that drive resiliency and security for Windows customers vorgestellt. Hintergrund war der Windows Endpoint Security Ecosystem Summit am 10. September 2024. Dieses von Microsoft veranstaltete Forum brachte eine Gruppe von Endpunktsicherheitsanbietern und Regierungsmitgliedern aus den USA und Europa zusammen, um Strategien zur Verbesserung der Widerstandsfähigkeit und zum Schutz der kritischen Infrastruktur unserer gemeinsamen Kunden zu diskutieren.
Microsoft wurde von Kunden und Anbietern von Sicherheitslösungen aufgefordert, mehr für die Kernelsicherheit zu tun und Mechanismen bereitzustellen, die einen CrowdStrike-Fall verhindern. Im Forum wurden Leistungsanforderungen und Herausforderungen [für Funktionen] außerhalb des Kernel-Modus, der Schutz vor Manipulationen bei Sicherheitsprodukten sowie die Anforderungen an Sicherheitssensoren diskutiert. Zudem wurde über die Entwicklungs- und Kooperationsprinzipien zwischen Microsoft und dem Ökosystem diskutiert.
In einem nächsten Schritt wird Microsoft diese neue Plattformfunktion, im Sinne seiner Secure-by-Design-Ziele für die zukünftige Plattform in Zusammenarbeit mit Partnern aus dem Ökosystem konzipieren und entwickeln. Ziel ist eine verbesserte Zuverlässigkeit von Windows ohne Sicherheitseinbußen zu erreichen. Sophos, die wohl auch beteiligt sind, hat diesen Beitrag zum Thema veröffentlicht.
Man darf gespannt sein, was Microsoft und die Software-Hersteller sich dann für Windows 13 oder später einfallen lassen werden und ob die Sensoren und Filtertreiber der Sicherheitsprodukte aus dem Kernel entfernt werden.
Ähnliche Artikel:
Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt?
Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen
CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte
Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten
CrowdStrike: Untersuchungsbericht; Schadenssumme und Entschädigungen; Schuldzuweisungen
Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen
Kommunal IT-Dienstleister Südwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsfähig
CrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter
Erneut Probleme mit CrowdStrike (22. August 2024)
Anzeige
Da reichte nicht, dass das Kind öfters in den Brunnen fiel (Antivirensoftware legt schon seit Jahrzehnten regelmäßig Windows lahm). Nein, erst musste es in einen 1000 Meter tiefen Minenschacht stürtzen, damit Microsoft endlich vernünftig reagiert.
"Secure-by-Design" klingt wie Hohn bei der Windows Trümmerlandschaft, die alle paar Jahre mit neuem Eye Candy überzogen wird. Microsoft hat und wird weiterhin klassisches Security by Obscurity Theater betreiben und per DMCA alles wegbeißen, was den Status Quo bedroht.
Jüngstes Beispiel: Im April hat ein Hacker undokumentierte API im WSC (Windows Security Center) für ein Tool genutzt, den Microsoft Defender und die Firewall sauber zu deaktivieren. Sauber bedeutet: Mit dem gleichen Mechanismus, den auch ein AV Schlangenöl-Anbieter nutzt, um am System anzudocken.
Das klappte auch sehr gut, dank einem zusätzlichen Proxy des Schlangenölherstellers Avast, der aus meiner bescheidenen Sicht recht dämlich dadrüber noch seine eigene API legte und für jede Malware oder eben dem Tool des Hackers einen roten Teppich damit ausrollte.
Im August wurde das Repo auf Microsoft GitHub leider per DMCA gelöscht. Ich war so frei, den GPL Quellcode davon auf Codeberg erneut wieder hochzuladen, da ich mit Sicherheit keine NDA, keine EULA und kein Microsoft Konto habe, gegen welches ich verstoßen könnte.
Original-Repo: https://github.com/es3n1n/no-defender
https://codeberg.org/tomas-jakobs/no-defender
Btw. ein schönes Beispiel, dass es egal sein wird, ob Microsoft Fremde in den Kernel lässt oder wie Apple anderen eine API anbietet. Wer will, kommt so oder so rein.
Immer wieder schön, wie die ganzen Windows Hater mit irgendwelchen "Gefährlichen" Hacks ankommen, bei denen Programme auf einem Windows System irgendetwas Deaktivieren können.
Schuld dabei ist natürlich Windows!
Egal, ob der Benutzer irgendwelche Fremdprogramme startet oder nicht.
Immer schön, wenn die MS Fanboys den Schrott bis aufs Messer verteidigen.
Schuld dabei sind nur sie durch ihre Ignoranz und Inkompetenz.
Wenn du das so denkt, muss es ja stimmen.
Ich bin sicherlich kein MS Fanboy, dennoch finde ich es lächerlich, mit solchen Argumenten gegen MS zu stänkern.
Wenn du an deiner Haustür den Schlüssel stecken lässt, jemand deine Bude leer räumt, ist das dann auch das Problem des Schlossherstellers?
Nichts anderes ist das hier.
Der Benutzer startet irgendwelche dubiosen Programme auf seinem Rechner und schiebt die Schuld auf ein unsicheres Windows!
Wenn im Gegensatz der Linux User ein böses Programm startet, dann liegt das natürlich nicht an Linux.
Vielleicht merkst du ja den Zusammenhang!