Microsoft meddelte for nylig, at de agter at arrangere en konference den 10. september for cybersikkerhedsfirmaer for at diskutere, hvordan branchen kan udvikles og blive bedre efter den fejlagtige opdatering fra CrowdStrike, som i juli forårsagede, at millioner af Windows-computere crashede.
Hændelsen skabte omfattende forstyrrelser i en række globalt internetforbundne systemer. Flyselskaber aflyste tusindvis af flyvninger, logistikvirksomheder rapporterede om forsinkelser i pakkeleverancer, og hospitaler blev nødt til at udskyde operationer. Delta Air Lines, som meddelte, at forstyrrelserne fra afbrydelsen kostede selskabet 550 millioner dollars, agter at rette erstatningskrav mod CrowdStrike og Microsoft.
Brugerbeskyttet tilstand ønskes
En anonym chef hos Microsoft siger, at deltagerne på Windows Endpoint Security Ecosystem Summit-mødet den 10. september vil udforske muligheden for at lade applikationer stole mere på en del af Windows kaldet "brugertilstand" i stedet for den mere driftskritiske "kernetilstand".
Software fra CrowdStrike, Check Point, SentinelOne og andre på markedet for end-to-end-beskyttelse stoler i øjeblikket på kernetilstanden. En sådan adgang hjælper disse firmaer med at overvåge og stoppe uønsket adfærd samt forhindre, at skadelig software lukker sikkerhedssoftware ned.
Applikationer, der kører i brugertilstand, er indkapslede, hvilket betyder, at hvis en applikation crasher, påvirker det ikke andre. Men en applikation, der kører i kernetilstand, som fejler, kan få hele Windows til at crashe.
Den 19. juli frigav CrowdStrike en fejlbehæftet konfigurationsopdatering til sin Falcon-scanner til Windows-computere med det formål at indsamle data om nye angreb, hvilket forårsagede crashes på operativsystemniveau. IT-administratorer genstartede computere, der havde modtaget opdateringen, hvilket resulterede i, at operativsystemet gik ind i en såkaldt blåskærmstilstand ("Blue Screen of Death" (BSOD)).
Microsoft-chefen siger, at fjernelse af kernetilstandsadgang i Windows kun ville løse en lille procentdel af potentielle problemer.
Apple har i de seneste år begrænset kernetilstandsadgang i macOS, og firmaet fraråder udviklere at bruge kernetilstanden.