{"id":302959,"date":"2024-09-13T12:13:20","date_gmt":"2024-09-13T10:13:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=302959"},"modified":"2024-09-20T18:51:19","modified_gmt":"2024-09-20T16:51:19","slug":"nach-crowdstrike-microsoft-plant-security-lsungen-aus-dem-windows-kernel-zu-entfernen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/13\/nach-crowdstrike-microsoft-plant-security-lsungen-aus-dem-windows-kernel-zu-entfernen\/","title":{"rendered":"Nach CrowdStrike: Microsoft plant Security-Lösungen aus dem Windows-Kernel zu entfernen"},"content":{"rendered":"

\"Windows\"[English]Microsoft hat erste Pl\u00e4ne skizziert, wie sich Windows-Systeme so absichern lassen, dass ein kaputtes Update einer Endpunkt-Sicherheitsl\u00f6sung nicht das ganze Betriebssystem in den Abgrund rei\u00dft. Mittelfristig sollen die Funktionen der Endpunkt-Sicherheitsl\u00f6sungen nicht mehr mit Treibern im Windows-Kernel mitlaufen, sondern isoliert werden. Das ist die Reaktion auf den CrowdStrike-Vorfall, bei dem 8,5 Millionen Windows-Systeme nach einem verungl\u00fcckten Software-Update ausfielen.<\/p>\n

<\/p>\n

R\u00fcckblick auf CrowdStrike<\/h2>\n

\"\"Zum 19. Juli 2024 kam es (ab den fr\u00fchen Morgenstunden) weltweit zu Ausf\u00e4llen von um die 8,5 Millionen Windows-Systemen, auf denen die EDR-Software CrowdStrike Falcon installiert war. CrowdsStrike Falcon ist eine weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware f\u00fcr Endger\u00e4te.<\/p>\n

Die Ursache war ein vom Hersteller ausgerolltes Update f\u00fcr die CrowdsStrike Falcon Sensoren. In Folge wurde auf den betroffenen Systemen ein Bluescreen of Death (BSOD) (mit der Fehlermeldung PAGE_FAULT_IN_NONEPAGED_AREA) ausgel\u00f6st. Verantwortlich war die Datei csagent.sys<\/em> und eine per Update verteilte, fehlerhafte sys-Datei, die von diesem Treiber geladen wurde.<\/p>\n

Windows-Systeme, die f\u00fcr einen automatischen Neustart nach einem fatalen Fehler konfiguriert waren, verfielen in eine BSOD-Restart-Schleife. Systeme, die auf dem BSOD verharrten, zeigten den ber\u00fchmten blauen Bildschirm (BSOD). Ich hatte ausgiebig \u00fcber dieses Ereignis berichtet und eine grobe Analyse des Sachverhalts im Beitrag Nachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a> ver\u00f6ffentlicht.<\/p>\n

Microsoft reagiert nun<\/h2>\n

Nach dem CrowdStrike-Vorfall, bei dem 8,5 Millionen Windows-Systeme nach einem verungl\u00fcckten Software-Update ausfielen, deutete sich an, dass Microsoft an seiner Windows-Kernelarchitektur \u00c4nderungen vornehmen will, um solchen \"Kollateralsch\u00e4den\" vorzubeugen (ich hatte dies im Beitrag Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a> angedeutet).<\/p>\n

Zum 12. September 2024 hat David Weston, Vice President Enterprise and OS Security bei Microsoft, nun erste Pl\u00e4ne in dieser Richtung im Beitrag Taking steps that drive resiliency and security for Windows customers<\/a> vorgestellt. Hintergrund war der Windows Endpoint Security Ecosystem Summit am 10. September 2024. Dieses von Microsoft veranstaltete Forum brachte eine Gruppe von Endpunktsicherheitsanbietern und Regierungsmitgliedern aus den USA und Europa zusammen, um Strategien zur Verbesserung der Widerstandsf\u00e4higkeit und zum Schutz der kritischen Infrastruktur unserer gemeinsamen Kunden zu diskutieren.<\/p>\n

Microsoft wurde von Kunden und Anbietern von Sicherheitsl\u00f6sungen aufgefordert, mehr f\u00fcr die Kernelsicherheit zu tun und Mechanismen bereitzustellen, die einen CrowdStrike-Fall verhindern. Im Forum wurden Leistungsanforderungen und Herausforderungen [f\u00fcr Funktionen] au\u00dferhalb des Kernel-Modus, der Schutz vor Manipulationen bei Sicherheitsprodukten sowie die Anforderungen an Sicherheitssensoren diskutiert. Zudem wurde \u00fcber die Entwicklungs- und Kooperationsprinzipien zwischen Microsoft und dem \u00d6kosystem diskutiert.<\/p>\n

In einem n\u00e4chsten Schritt wird Microsoft diese neue Plattformfunktion, im Sinne seiner Secure-by-Design-Ziele f\u00fcr die zuk\u00fcnftige Plattform\u00a0 in Zusammenarbeit mit Partnern aus dem \u00d6kosystem konzipieren und entwickeln. Ziel ist eine verbesserte Zuverl\u00e4ssigkeit von Windows ohne Sicherheitseinbu\u00dfen zu erreichen. Sophos, die wohl auch beteiligt sind, hat diesen Beitrag<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

Man darf gespannt sein, was Microsoft und die Software-Hersteller sich dann f\u00fcr Windows 13 oder sp\u00e4ter einfallen lassen werden und ob die Sensoren und Filtertreiber der Sicherheitsprodukte aus dem Kernel entfernt werden.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Ausfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>
\nCrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a>
\nMicrosofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a>
\nKommunal IT-Dienstleister S\u00fcdwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsf\u00e4hig<\/a>
\nCrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter<\/a>
\nErneut Probleme mit CrowdStrike (22. August 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat erste Pl\u00e4ne skizziert, wie sich Windows-Systeme so absichern lassen, dass ein kaputtes Update einer Endpunkt-Sicherheitsl\u00f6sung nicht das ganze Betriebssystem in den Abgrund rei\u00dft. Mittelfristig sollen die Funktionen der Endpunkt-Sicherheitsl\u00f6sungen nicht mehr mit Treibern im Windows-Kernel mitlaufen, sondern isoliert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-302959","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=302959"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302959\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=302959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=302959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=302959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}