Microsoft, CrowdStrike’ın 19 Temmuz’daki küresel Windows kesintisinin temel nedenine ilişkin analizini doğruladı ve gelecekte benzer olayların önlenmesine yardımcı olmak için kötü amaçlı yazılım önleme sağlayıcılarıyla çalışma planlarını yayınladı.
Tüm zamanların en büyük siber olayı olarak nitelendirilen CrowdStrike güncelleme hatası nedeniyle dünya genelinde 8,5 milyon Windows bilgisayar çökmüştü.
Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı David Weston’ın 27 Temmuz tarihli blog yazısında, yazılım devi, kötü amaçlı yazılımlara karşı koruma sağlayıcılarının güncellemeleri daha güvenli bir şekilde yayınlamasına yardımcı olmak için dört girişimi özetledi:
- “Güvenlik ürünlerinde güncellemelerin daha güvenli bir şekilde gerçekleştirilmesini sağlamak için” dağıtım rehberliği, en iyi uygulamalar ve teknolojiler sunacaklar.
- Çekirdek sürücülerinin güvenlik verilerine erişmesi ihtiyacını azaltıyorlar.
- “Sanallaştırma tabanlı güvenlik (VBS) bölgeleri” gibi teknolojilerle gelişmiş izolasyon ve kurcalamaya karşı koruma yetenekleri getirecekler.
- Windows yerel güvenlik özelliklerinin sağlığına bağlı olarak bir makinenin güvenlik durumunu belirleyebilen yüksek bütünlük doğrulaması gibi sıfır güven yaklaşımlarını etkinleştirecekler.
Ayrıca CrowdStrike’a yanıt olarak, “güvenlik araçlarının ortaya çıkan tehditleri güvenli ve emniyetli bir şekilde tespit edip, bunlara yanıt vermesi” için bir yol olarak Rust bellek güvenli programlama diline destek vurgulanıyor.
Weston’ın blog yazısı, CrowdStrike’ın küresel “mavi ekran” kesintisinin nedenlerine ilişkin versiyonunu doğruluyor ve ardından Microsoft’un güncellemeleri daha güvenli hale getirme planlarına değiniyor. Weston şöyle diyor :
“Gözlemlerimiz CrowdStrike tarafından geliştirilen CSagent.sys sürücüsünde sınırların dışında okunan bir bellek güvenliği hatası olduğuna dair analizini doğruluyor. Bu tür hatalar “güvenli dağıtım uygulamalarıyla birleştirilmediğinde yaygın kullanılabilirlik sorunlarına yol açabilir.”
Csagent.sys dosyası, kötü amaçlı yazılımlara karşı koruma sağlayan yazılımlar tarafından dosya oluşturma veya değiştirme gibi dosya işlemleri hakkında bildirim almak, indirmeleri ve diğer yeni dosyaları taramak için kullanılan bir dosya sistemi filtre sürücüsüdür.
Dosya sistemi filtreleri ayrıca sistem davranışını izlemek için bir sinyal olarak da kullanılabilir.
“CrowdStrike, bloglarında içerik güncellemelerinin bir kısmının, adlandırılmış tünel oluşturma etrafındaki verilerle ilgili sensörün mantığını değiştirmek olduğunu belirtti. Dosya Sistemi filtre sürücüsü API’si, sürücünün, kötü amaçlı davranışın tespitini sağlayabilecek adlandırılmış tünel etkinliği (örneğin, adlandırılmış tünel oluşturma) sistemde gerçekleştiğinde bir çağrı almasını sağlar.”
Microsoft, çekirdek sürücülerinin sistem genelinde görünürlük sağlama, kullanıcı modu uygulamalarından önce yüklenebilen önyükleme kitleri ve kök kitleri gibi tehditleri tespit etmek için erken yükleme ve dosya oluşturma, silme veya değiştirme gibi olayları izleme yetenekleri nedeniyle çekirdek sürücülerini kullanma uygulamasını genel olarak savundu. Weston, Çekirdek etkinliğinin ayrıca sürücülerin dosya veya işlem oluşturma gibi etkinlikleri ne zaman engelleyeceğine karar vermeleri için geri aramaları tetikleyebileceğini ve birçok satıcının NDIS sürücü sınıfını kullanarak çekirdekte ağ bilgilerini toplamak için sürücüleri kullandığını söyledi.
Microsoft, ayrıca, kurcalamaya karşı dayanıklılık ve performans avantajlarından da bahsetti, ancak şunları ekledi:
“Veri toplama ve analizinin çekirdek modu dışında çalışmak üzere optimize edilebileceği birçok senaryo var ve Microsoft, performansı iyileştirmek ve çekirdek modu dışında eşitliği sağlamak için ekosistemle ortaklık kurmaya devam ediyor.
Bugün güvenlik araçlarının güvenlik ve güvenilirliği dengelemesi mümkün. Güvenlik satıcıları, veri toplama ve uygulama için çekirdek modunda çalışan “asgari sensörleri” kullanabilir ve kullanılabilirlik sorunlarına maruz kalmayı sınırlayabilir.
Weston ayrıca Windows güvenliğini ve kullanılabilirliğini artırabilecek bir dizi en iyi uygulamadan da bahsetti; bunların arasında en dikkat çeken ikisi İşletmeler İçin Uygulama Denetimi ve VBS bellek bütünlüğü oldu.
Kaynak : 