Analiza Microsoft asupra incidentului global provocat de CrowdStrike. Ce spune gigantul tech
Postat la: 31.07.2024 | Scris de: ZIUA NEWS
0
Un incident global recent a fost declanșat de CrowdStrike, un furnizor major de soluții de securitate cibernetică, și a generat numeroase probleme pentru utilizatorii de Windows din întreaga lume. Microsoft a oferit o analiză detaliată pentru a clarifica cauzele tehnice și a propune soluții pentru prevenirea unor astfel de incidente în viitor.
Cauzele tehnice ale incidentului
CrowdStrike a descoperit că problema principală a fost o eroare în driverul lor, CSagent. Acest driver a încercat să acceseze o parte a memoriei care nu îi era permisă, provocând erori de tip Blue Screen of Death (BSoD). Microsoft a folosit instrumente speciale, precum Microsoft WinDBG Kernel Debugger, pentru a investiga eroarea și a confirmat descoperirile CrowdStrike. Problema era localizată în modulul csagent.sys, care monitorizează și interceptează operațiunile pe fișiere, inclusiv crearea și modificarea acestora.
Driverul CSagent este crucial pentru soluțiile de securitate deoarece permite scanarea fișierelor noi adăugate pe stocare și monitorizarea activității sistemului pentru a detecta comportamente potențial periculoase. Acest incident a evidențiat importanța validării riguroase a driverelor și a desfășurării unor practici corespunzătoare pentru a preveni astfel de probleme de disponibilitate.
Importanța driverelor kernel în soluțiile de securitate
Produsele de securitate, inclusiv cele dezvoltate de Microsoft și CrowdStrike, se bazează adesea pe drivere care rulează în „modul kernel" din mai multe motive:
Driverele kernel permit vizibilitatea la nivel de sistem și capacitatea de a detecta amenințări încă din fazele timpurii ale boot-ului, cum ar fi bootkit-uri și rootkit-uri.
Analiza sau colectarea de date pentru activități de rețea cu volum mare de date beneficiază de pe urma driverelor kernel.
Driverele kernel oferă protecție împotriva dezactivării de către malware sau atacatori cu privilegii de administrator, deoarece pot fi încărcate foarte devreme în procesul de boot.
În mod normal, termenul „kernel" se referă la nucleul sistemului de operare, partea de bază și critică, care gestionează resursele hardware și comunicarea dintre hardware și software. Codurile care rulează în modul kernel trebuie validate riguros deoarece nu pot fi repornite la fel de ușor ca aplicațiile din modul utilizator.
Recomandările Microsoft
Microsoft recomandă dezvoltatorilor de soluții de securitate și administratorilor IT să:
-Utilizeze minimal senzorii în modul kernel pentru colectarea datelor și aplicarea măsurilor, limitând astfel expunerea la probleme de disponibilitate.
-Mute funcționalitățile complexe în modul utilizator, unde recuperarea este posibilă.
-Folosească tehnologii precum Virtualization-based Security (VBS) și Protected Processes pentru a oferi o protecție robustă a proceselor critice de securitate.
-Implementarea măsurilor de siguranță implicit în Windows 11, care include caracteristici precum Secure Boot, Memory Integrity și lista de blocare a driverelor vulnerabile.
DIN ACEEASI CATEGORIE...
ULTIMA ORA
-
Femeia sedată de soț pentru a fi violată de peste 50 de bărbați rupe tăcerea în fața magistraților: "Eram într-o stare comatoasă"
Gisele Pelicot, fosta soţie a unui bărbat francez acuzat că a recrutat străini pentru a o viola în timp ce era drogată, a declarat, la tribunal, că nu şi-a dat niciodată consimţământul şi că bărbaţii care ar fi agresat-o erau „degeneraţi".
-
Situație inexplicabilă a aparatelor explozive din Liban: Producătorul spune că nu le mai fabrică de 10 ani
Producătorul japonez Icom a declarat joi că a încetat să producă "în urmă cu aproximativ zece ani" walkie-talkie-urile suspectate că au explodat miercuri în Liban, ucigând membri ai Hezbollah, care a acuzat Israelul că le-a pus capcane.
-
Mister elucidat: Cum e posibil sa apară o sacoșă cu sigla Carrefour într-un film comunist din 1982
În pelicula comunistă „Buletin de București" din 1982, a fost observat un detaliu neașteptat: un personaj ține în mână o sacoșă cu sigla Carrefour, celebrul brand francez de hypermarketuri. Această apariție a stârnit un val de speculații, dat fiind că lanțul nu era prezent în România în acea perioadă.
-
"Vampirul copil" din Polonia: Arheologii sunt uimiți de ceea ce au descoperit în mormânt
Arheologii polonezi au dezvăluit un mormânt ieșit din comun, ascuns în grădinile Palatului Episcopilor din Lublin, Polonia. Această relicvă intrigantă pare să aducă la viață povești misterioase din trecutul întunecat al regiunii.
-
UE va intra in război cu Rusia. Noului comisar pentru apărare cere armament si trupe
Uniunea Europeană trebuie să-şi întărească rapid apărarea, deoarece Rusia ar putea fi pregătită pentru o confruntare în şase până la opt ani, a declarat Andrius Kubilius, desemnat pentru a deveni primul comisar al UE pentru apărare, într-un interviu.
-
Criza energetică: Următoarele 6 luni ar putea decide dacă jumătate din români vor plăti prețuri duble la electricitate
Următoarea jumătate de an este decisivă pentru a preveni ca jumătate din populația României să plătească prețuri duble pentru energie electrică și pentru a evita ca aproximativ 40% dintre oameni să fie confruntați cu creșteri de 75% ale tarifelor.
-
Viorica Dăncilă i-a cerut public lui Marcel Ciolacu să explice de ce făcea presiuni asupra ei să dea OUG pe amnistie și grațiere
Viorica Dăncilă a dezvăluit că, în mandatul ei de premier, liderii PSD, printre care și Marcel Ciolacu, au făcut presiuni asupra ei să dea OUG pe amnistie și grațiere, dar a refuzat. Dăncilă i-a cerut public lui Marcel Ciolacu să vină în fața oamenilor și să explice de ce a insistat pentru amnistie și grațiere.
-
Al doilea val de explozii lovește dispozitivele de comunicații din Liban. De asta n-au mai fost pagere ci walkie-talkie
Într-o a doua zi de explozii de dispozitive, statii de emisie-receptie portabile folosite de Hezbollah au detonat miercuri după-amiază târziu în sudul Libanului și în suburbiile sudice ale Beirutului, au declarat pentru Reuters o sursă de securitate și un martor.
-
Compania maghiară se spală pe mâini - Pagerele care au explodat în Liban nu s-au aflat niciodată în Ungaria
Societatea ungară BAC, prezentată ca fiind producătoarea pagerelor folosite de către Hezbollah care au fost detonate marţi în Liban şi Siria, este un intermediar comercial, fără instalaţie de producţie sau operaţională în Ungaria, anunţă miercuri Budapesta.
DIN CATEGORIE
- TOP CITITE
- TOP COMENTATE
- 1.Descoperirea mormântului gigantului Gilgameș sub albia râului Eufrat este de o importanta majora pentru descifrarea istoriei antice
- 2.Americanii au uitat harta unei baze militare cheie într-un vehicul capturat de ruși in Ucraina
- 3.În Asia trăiesc 80 de milioane de vorbitori de limba română arhaică la 4.500 de km de țara noastră
- 4.Cel mai tare interviu al lui Tucker Carlson despre Big Pharma si cum companiile de alimente vor sa ne imbolnaveasca si sa ne faca dependenti de medicamente
- 5.Secretul din spatele rachetei de 1 milion de dolari dată Ucrainei de Vest: Scânteia ce aruncă NATO în război cu Putin
- 6.Bill Gates o spune pe fata ca la prosti: "Dacă evităm un război mare, va exista o altă pandemie!"
- 7.Matrix e real: De ce nu pot oamenii sa se deconecteze de la Sistemul care oferă iluzia realitații programabile
- 8.Microbul-lipsă: Cum afectează vaccinarea COVID flora microbiană și imunitatea intregului organism
- 9.Tucker Carlson după arestarea șefului Telegram: "Întunericul coboară rapid pe lumea de altădată liberă!"
- 10.Migrația din Africa și Asia de Sud: Pericolul unei Disoluții Ireversibile a Identității Europene
comentarii
Adauga un comentariuAdauga comentariu