.

Atualizada A Microsoft prometeu reduzir a dependência dos fornecedores de segurança cibernética no código do modo kernel, que estava no centro do grande problema do CrowdStrike neste mês.

Redmond compartilhou um artigo de resposta a incidentes técnicos no sábado – intitulado “Melhores práticas de segurança do Windows para integrar e gerenciar ferramentas de segurança” – no qual o vice-presidente de segurança corporativa e de sistemas operacionais, David Weston, explicou como a Microsoft mediu o impacto do desastre: acessando relatórios de falhas compartilhados pelos clientes.

Mas é claro, como Weston observou, nem todos os clientes do Windows compartilham relatórios de falhas.

“Vale a pena notar que o número de dispositivos que geraram relatórios de travamento é um subconjunto do número de dispositivos impactados compartilhados anteriormente pela Microsoft”, ele escreveu. O que significa que a gigante de TI produziu essa estimativa de 8,5 milhões de computadores Windows afetados pelo snafu da CrowdStrike sem um relatório de travamento de cada um deles. A gigante do software não detalhou a metodologia usada para calcular o número.

A postagem de Weston justifica o desempenho do Windows, com base no fato de que drivers em nível de kernel – como aqueles empregados pela CrowdStrike – podem melhorar o desempenho e evitar adulteração de software de segurança. Ele observou, no entanto, que os fornecedores de infosec devem racionalizar esses benefícios contra potenciais impactos negativos na resiliência.

Se o código do modo kernel quebrar, como aconteceu com o CrowdStrike quando seu conjunto Falcon tentou analisar um arquivo de configuração incorreto enviado a milhões de máquinas Windows, a falha resultante derrubará todo o sistema operacional e seus aplicativos.

Portanto, quanto mais for possível fazer fora do kernel, melhor; se esse processamento sair dos trilhos no modo de usuário, o resto do sistema deve continuar funcionando, pelo menos, e a falha deve ser tratada com elegância.

Isso ocorre porque o modo kernel do Windows é um ambiente poderoso e confiável no qual o código é executado próximo ao hardware e não há muitos guardrails; é o software que gerencia seus dispositivos, mantém os núcleos da CPU ocupados com o trabalho dos aplicativos e mantém os programas e usuários separados uns dos outros conforme necessário, entre outras tarefas.

É um bom lugar para mecanismos de detecção de malware serem executados, na forma de drivers de kernel, pois eles têm boa visibilidade de todo o computador para detectar intrusões e outras ameaças.

Mas a desvantagem é que se esses mecanismos forem comprometidos ou quebrarem, eles podem derrubar a caixa inteira ou, pior, abrir o sistema para mais ataques. Daí a sugestão de mover funções auxiliares, como análise de arquivo de configuração, para fora do kernel e para o espaço do usuário, onde o dano será limitado.

E especialmente no caso do CrowdStrike, no qual seu código de nível de driver assinado digitalmente — normalmente aprovado pela Microsoft — é estendido por arquivos de dados enviados na forma de atualizações; uma atualização desonesta anulará qualquer confiança que o Windows tinha no código de nível de kernel do CrowdStrike.

O driver Falcon neste caso era um driver de filtro do sistema de arquivos, que normalmente permite que o produto antivírus procure por operações de arquivo maliciosas; a atualização incorreta do arquivo neste mês fez com que o driver acessasse a memória que não deveria, acionando uma exceção de leitura fora dos limites e uma falha no sistema.

“Como os drivers do kernel são executados no nível mais confiável do Windows, onde os recursos de contenção e recuperação são limitados por natureza, os fornecedores de segurança devem equilibrar cuidadosamente necessidades como visibilidade e resistência a violações com o risco de operar no modo kernel”, como disse Weston.

Ele observou que os fornecedores de segurança podem encontrar o equilíbrio certo.

“Por exemplo, fornecedores de segurança podem usar sensores mínimos que rodam em modo kernel para coleta e aplicação de dados, limitando a exposição a problemas de disponibilidade”, ele explicou. “O restante da funcionalidade principal do produto inclui gerenciamento de a

4 views Jul 11, 2025
O acesso não autorizado à HealthEquity afeta 4,3 milhões de pessoas • st IBM, Nike, Disney e outros pegos em confusão de phishing da Proofpoint • st