Rubriche

Microsoft pubblica un'analisi dell'incidente di CrowdStrike

Arresto anomalo dovuto a un file. In futuro accesso più sicuro

Redazione Ansa

Microsoft torna sul blocco creato dall'aggiornamento difettoso del software di CrowdStrike. Dopo aver comunicato la stima degli 8,5 milioni di dispositivi interessati dal tilt informatico, Redmond ha pubblicato una lunga disamina tecnica dell'accaduto. Questa contiene dati di telemetria e alcune spiegazioni che hanno causato l'arresto anomalo dei sistemi Windows.

Come spiega l'azienda, il bug dei sistemi è stato causato da un problema del file CSagent.sys sviluppato da CrowdStrike. Un errore di sicurezza della memoria provocato dal tentativo di accesso del file ad una zona al di fuori di quella normalmente allocata al particolare processo. Avendo riscontrato che un file insolito voleva "leggere" porzioni di memoria non dovute, Windows è andato in blocco, mostrando la classica schermata blu.

Microsoft sottolinea sul proprio sito dedicato alla sicurezza che questo tipo di lettura errata elude le protezioni della memoria e anche se raro è potenzialmente molto pericoloso per l'integrità del sistema.

Nella sua analisi, Microsoft solleva anche la questione del kernel. Quest'ultimo è un programma inserito nel sistema operativo, spesso con il controllo completo della macchina, nato per monitorare i processi e fornire un accesso sicuro e controllato. La possibilità per fornitori terzi, come CrowdStrike, di accedere al kernel può aumentare i rischi di sicurezza o conseguenze simili a quelle vissute il 19 luglio scorso. L'azienda ha in programma di rafforzare la sicurezza dei propri prodotti implementando linee guida rigorose per gli aggiornamenti, minimizzando la superficie di attacco attraverso la riduzione dei driver del kernel necessari e massimizzando l'isolamento e la protezione da manomissioni. Inoltre, verranno adottate misure per supportare pienamente un approccio Zero Trust. Un modello di sicurezza per il quale ogni richiesta di accesso a risorse o servizi, indipendentemente dalla sua origine, deve essere verificata e autorizzata esplicitamente prima di essere concessa.

Leggi l'articolo completo su ANSA.it