La lunga analisi tecnica dell’accaduto contiene dati di telemetria e alcune spiegazioni sul motivo che ha causato l’arresto anomalo dei sistemi Windows. Secondo Microsoft la possibilità per fornitori terzi di accedere al kernel può aumentare i rischi di sicurezza simili a quelle vissute il 19 luglio scorso
Dopo CrowdStrike, anche Microsoft ha pubblicato sul suo blog una lunga analisi tecnica sull’incidente che il 19 luglio ha interessato oltre 8,5 milioni di dispositivi in tutto il mondo.
La lunga disamina tecnica dell’accaduto contiene dati di telemetria e alcune spiegazioni sull’arresto anomalo dei sistemi Windows che ha causato danni in molti settori e la cancellazione di oltre 6mila voli in tutti il mondo.
Microsoft: Windows è andato in blocco a causa di letture di porzione di memoria non dovute
Come spiega l’azienda, il bug dei sistemi è stato causato da un problema del file CSagent.sys sviluppato da CrowdStrike. Un errore di sicurezza della memoria provocato dal tentativo di accesso del file ad una zona al di fuori di quella normalmente allocata al particolare processo. Avendo riscontrato che un file insolito voleva “leggere” porzioni di memoria non dovute, Windows è andato in blocco, mostrando la classica schermata blu.
Microsoft sottolinea sul proprio sito dedicato alla sicurezza che questo tipo di lettura errata elude le protezioni della memoria e anche se raro è potenzialmente molto pericoloso per l’integrità del sistema.
Nella sua analisi, Microsoft solleva anche la questione del kernel. Quest’ultimo è un programma inserito nel sistema operativo, spesso con il controllo completo della macchina, nato per monitorare i processi e fornire un accesso sicuro e controllato.
La possibilità per fornitori terzi di accedere al kernel può aumentare i rischi di sicurezza
La possibilità per fornitori terzi, come CrowdStrike, di accedere al kernel può aumentare i rischi di sicurezza o conseguenze simili a quelle vissute il 19 luglio scorso.
L’azienda ha in programma di rafforzare la sicurezza dei propri prodotti implementando linee guida rigorose per gli aggiornamenti, minimizzando la superficie di attacco attraverso la riduzione dei driver del kernel necessari e massimizzando l’isolamento e la protezione da manomissioni.
Inoltre, verranno adottate misure per supportare pienamente un approccio Zero Trust. Un modello di sicurezza per il quale ogni richiesta di accesso a risorse o servizi, indipendentemente dalla sua origine, deve essere verificata e autorizzata esplicitamente prima di essere concessa.
Secondo le stime della compagnia di assicurazioni cyber Parametrix, il costo totale del blocco per le aziende Fortune 500 è stato di 5,4 miliardi di dollari (circa 4,95 miliardi di euro).
I settori più colpiti sono stati quello sanitario e quello delle compagnie aeree, con perdite rispettivamente di 1,9 miliardi di dollari (circa 1,74 miliardi di euro) e 860 milioni di dollari (circa 790 milioni di euro).
English (US)