Microsoft heeft nieuwe beveiligingsmaatregelen aangekondigd om een herhaling van het ernstige incident met CrowdStrike te voorkomen. Tijdens een beveiligingstop deze week lichtte het bedrijf de plannen verder toe. In juli zorgde een fout in de beveiligingssoftware van CrowdStrike voor ernstige problemen op miljoenen Windows-computers wereldwijd, waardoor systemen vastliepen met een Blue Screen of Death (BSOD). Hoewel in eerste instantie werd gedacht dat een probleem bij Microsoft zelf de oorzaak was, bleek uiteindelijk dat een recente update van CrowdStrike-software de boosdoener was. Deze software werkt op kernelniveau, wat betekent dat het diep in het hart van het besturingssysteem opereert, en een fout op dit niveau kan grote schade aanrichten. Microsoft gaf al snel aan maatregelen te overwegen om de toegang tot de kernel te beperken. Deze week maakte het bedrijf meer details bekend tijdens hun ‘security summit’.
Beperking van kerneltoegang
Microsoft sprak met beveiligingspartners zoals CrowdStrike, Sophos en Trend Micro over de uitdagingen bij het ontwikkelen van een nieuw beveiligingsplatform. Dit platform zou beveiligingssoftware buiten de kernelmodus moeten laten draaien, terwijl hetzelfde beveiligingsniveau behouden blijft. Het beperken van de kerneltoegang zou kunnen helpen voorkomen dat fouten zoals die in juli opnieuw optreden. Er wordt ook gekeken naar de impact die dit kan hebben op de prestaties van beveiligingssoftware en naar extra maatregelen tegen sabotage. Hoewel Microsoft niet expliciet zei dat de kerneltoegang volledig wordt afgesloten, lijkt dat wel de richting te zijn waar het naartoe gaat.
Veranderingen binnen het ecosysteem
Interessant genoeg is dit niet de eerste keer dat Microsoft nadenkt over het beperken van kerneltoegang. In 2006, bij de introductie van Windows Vista, werd een soortgelijk plan voorgesteld. Toen leidde verzet van beveiligingsbedrijven en overheden er echter toe dat het voorstel werd ingetrokken. Nu, 18 jaar later, zijn het juist diezelfde beveiligingspartners die om veranderingen vragen. Joe Levy, CEO van Sophos, sprak over een “open discussie” binnen de industrie over het verbeteren van zowel Windows als de beveiligingsoplossingen. David Weston, vicepresident van Enterprise en OS-beveiliging bij Microsoft, voegde daaraan toe dat de ontwikkeling van het nieuwe beveiligingsplatform doorgaat met de input van ecosysteempartners.
Kritiek van Cloudflare
Niet iedereen is echter enthousiast over de plannen van Microsoft. Matthew Prince, CEO van Cloudflare, uitte zijn bezorgdheid over het feit dat Microsoft wel volledige toegang tot de kernel behoudt. Volgens Prince zou dit de softwaregigant een oneerlijk voordeel geven bij het aanbieden van eigen beveiligingsoplossingen. Hij waarschuwde dat een situatie waarin alleen Microsoft effectieve endpoint-beveiliging kan bieden, niet per se een veiligere wereld betekent. In 2006 was dit ook een van de redenen waarom overheden ingrepen bij het eerdere voorstel van Microsoft. Hoe de huidige plannen van Microsoft zullen uitpakken, moet de toekomst uitwijzen.