Diversi giorni fa il mondo aeroportuale (e non solo) è rimasto bloccato per diverse ore a causa di un problema tecnico che ha coinvolto la società di cybersecurity CrowdStrike e il colosso tech Microsoft. Dopo circa una settimana dal fatto, ora sappiamo con maggior precisione cosa ha innescato quell’incidente. E come evitare che si ripeta.
Microsoft spiega la causa dell’incidente di CrowdStrike
In una recente analisi pubblicata sul blog ufficiale di Microsoft, il colosso tech di Redmond conferma che dietro il “down” di quasi una settimana fa c’è stato un aggiornamento difettoso di CrowdStrike. Per la precisione, ad aver causato il famigerato BSOD (Blue Screen of Death) su numerosi computer Windows è stato il driver CSagent.sys, come già la stessa CrowdStrike aveva confermato in un rapporto preliminare.
Per quanto possa sembrare assurdo che milioni di computer siano saltati per colpa di un semplice driver (The Register parla di ben 8.5 milioni di computer coinvolti) in realtà non c’è da sorprendersi più di tanto, visto che, quando ci si trova di mezzo degli errori di sicurezza della memoria come “out-of-bounds read“, sarebbe anzi assurdo se fosse andato diversamente. Parliamo di un errore particolarmente pericoloso, poiché può sovrascrivere dati adiacenti e compromettere l’integrità del sistema.
A causare questo particolare errore sarebbe stato un tentativo, da parte del driver CSagent.sys, di accedere ad una parte di memoria. Il driver CSagent.sys è infatti registrato a sistema come driver di filtro del file system. Una specie di “autorizzazione” che permette di monitorare le operazioni sui file e consentire ai software di sicurezza di scansionare i nuovi file salvati su disco.
Grazie a questo accesso “privilegiato”, il driver si è purtroppo spinto troppo oltre, andando a leggere una zona al di fuori dell’area allocata per quel processo. Si tratta di una violazione delle protezioni della memoria, che porta così all’accesso fuori limite e al crash del sistema.
Pro e contro del servizio di protezione a livello kernel
Dato che il driver in questione proviene da un software di terze parti, riporta Punto Informatico, in molti hanno criticato la scelta di Microsoft di permettere a un software del genere di operare a livello del kernel.
Ma Microsoft ha voluto giustificare questa scelta, evidenziando i benefici in termini di visibilità e capacità di rilevare minacce sin dall’avvio del sistema. Ad esempio, l’analisi o la raccolta di dati per attività di rete ad alto throughput possono trarre vantaggio da un driver del kernel.
E così anche la resistenza a eventuali manomissioni, visto che l’Antimalware di lancio anticipato (ELAM), disposto nelle prime fasi del processo di avvio, e il driver CSboot di CrowdStrike permettono il caricamento fin dall’inizio del software, impedendo a malware, attacchi mirati o insider dannosi di disabilitarlo in tempo.
Tuttavia, il colosso tech ha anche riconosciuto i rischi associati all’esecuzione di driver in modalità kernel, dove gli errori possono avere conseguenze disastrose sulla stabilità del sistema.
La soluzione di Microsoft a questo incidente
Per mitigare questi rischi, Microsoft consiglia ai fornitori di software di sicurezza di limitare al minimo i componenti che operano in modalità kernel, concentrando la maggior parte delle funzionalità in modalità utente.
Inoltre, Microsoft sottolinea l’importanza di sfruttare i meccanismi di sicurezza integrati in Windows, come l’isolamento avanzato e le capacità anti-manomissione, per migliorare la sicurezza senza compromettere l’affidabilità del sistema.
Guardando al futuro, Microsoft ha pianificato diverse iniziative per prevenire problemi simili. Queste includono:
- la fornitura di linee guida per il rollout sicuro degli aggiornamenti,
- la riduzione della dipendenza dai driver del kernel,
- l’implementazione di capacità di isolamento avanzate e approcci Zero Trust.
Questi sforzi mirano a migliorare la sicurezza e l’affidabilità del sistema, riducendo il rischio di incidenti come quello causato dal driver di CrowdStrike.
