Discussion :

[Stéphane le calme]

Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

Que peut faire Microsoft ?

Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

Parmi les exemples d'innovation, citons les enclaves VBS récemment annoncées, qui fournissent un environnement de calcul isolé ne nécessitant pas que les pilotes en mode noyau soient résistants aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'amorçage. Ces exemples utilisent des approches modernes de confiance zéro et montrent ce qui peut être fait pour encourager les pratiques de développement qui ne reposent pas sur l'accès au noyau. Nous continuerons à développer ces capacités, à renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l'écosystème Windows, en travaillant ouvertement et en collaboration avec l'ensemble de la communauté de la sécurité.

Il est toujours possible qu'une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d'appels avec des organisations du monde entier. Nous avons observé que celles qui ont été en mesure de remédier à la situation et de se rétablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.

L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.

— vx-underground (@vxunderground) July 26, 2024

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Conclusion

Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

Sources : Microsoft (1, 2) Apple

Et vous ?

Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

[OuftiBoy]

Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

Ce n'est que du bon sens.

[B][SIZE=4]Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

Que l'OS soit ouvert pour les applications classiques, c'est tout a fait normal. Pour ce qui est critique, ils doivent protèger leur OS.

[B][SIZE=4]Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

C'est dommage, cela aurait rendu windows plus stable.

[B][SIZE=4]Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

Que peut faire Microsoft ?

Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

Ce serait un bon début.

[B][SIZE=4]Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

Un navigateur n'est pas un logiciel "critique" (du moins, il ne devrait pas l'être). Que l'Europe oblige microsoft à laisser le choix d'autres navigateur, c'est normal.

[B][SIZE=4]Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».



L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.

— vx-underground (@vxunderground) July 26, 2024

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Conclusion

Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

Sources : Microsoft (1, 2) Apple

Et vous ?

Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

BàV et Peace & Love.

[Stéphane le calme]

Au-delà de CrowdStrike : l'entreprise n'est pas la seule à être vulnérable, mais tout le secteur de la cybersécurité,
les solutions technologiques sur lesquelles nous comptons sont souvent moins abouties qu'il n'y paraît

L’incident de panne chez CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Cela souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.

Il faut en moyenne 62 minutes à des adversaires malveillants pour faire tomber votre entreprise, avertit le site web de CrowdStrike. En l'occurrence, l'entreprise de cybersécurité chargée de protéger de dizaines milliers de clients contre les pirates informatiques a réussi à faire tomber une grande partie des entreprises mondiales. Le coupable n'était autre qu'une seule mise à jour de contenu défectueuse qu'elle a diffusée sur son produit Falcon Sensor auprès des utilisateurs de Microsoft dans le monde entier.

En effet, CrowdStrike a déclaré dans un communiqué qu'il avait « identifié et isolé la faille et qu'un correctif avait été déployé ».

Microsoft a indiqué que 8,5 millions d'utilisateurs ont été impactés. Le phénomène a eu une répercussion mondiale, des entreprises d'Asie, d'Europe et des États-Unis ayant signalé des problèmes. Les retombées se sont étendues à de larges pans de l'économie mondiale, affectant les compagnies aériennes, les trains, les banques, les radiodiffuseurs et presque tout le reste. Les entreprises concernées affirment avoir mis en place un correctif. Mais les premiers rapports suggèrent que le processus est à la fois manuel et complexe, ce qui signifie que la remise en service des PC endommagés pourrait être un processus laborieux.

Les entreprises concernées en subiront évidemment les conséquences. Un échec aussi généralisé soulèvera, à tout le moins, de sérieuses questions sur le contrôle de la qualité et les processus de test internes. Cela devrait effrayer les clients. L'action semble également vulnérable. CrowdStrike a connu une croissance rapide, sa capitalisation boursière ayant plus que doublé au cours des 12 derniers mois pour atteindre 83,5 milliards de dollars. Cependant, le jour de la médiatisation de ces incidents, les actions de la société ont chuté.

D'autres entreprises, fonctionnant selon un modèle commercial similaire, pourraient également être touchées. Les clients seront conscients du risque que représente l'externalisation de ces fonctions critiques à des tiers, en particulier ceux qui sont en mesure d'envoyer automatiquement des mises à jour aux systèmes des clients. L'une des conséquences pourrait bien être l'expansion des équipes informatiques internes. Une autre conséquence devrait être la recherche d'un plus grand nombre de fournisseurs de logiciels et d'autres applications de sécurité.

Des leçons à retenir de cet incident ?

L'incident va exacerber les inquiétudes concernant le risque de concentration dans le secteur de la cybersécurité. Selon SecurityScorecard, 15 entreprises seulement dans le monde représentent 62 % du marché des produits et services de cybersécurité. Dans le domaine de la sécurité des terminaux modernes, qui consiste à sécuriser les PC, les ordinateurs portables et d'autres appareils, le problème est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrôlaient la moitié du marché l'année dernière, selon IDC.

Nous sommes aujourd'hui confrontés à une prise de conscience importante et terrifiante : De nombreuses personnes en charge de nos systèmes numériques mondiaux dépendent d'un seul fournisseur de logiciels comme point de défaillance (une estimation suggère que CrowdStrike représente 24 % du marché de la sécurité), et lorsque ce fournisseur lui-même commet une erreur, nous sommes tous amenés à en subir les conséquences.

Alors que le Cyber Safety Review Board américain dissèque les cyberattaques de grande ampleur pour en tirer des enseignements, il n'existe pas d'organisme évident chargé d'analyser ces défaillances techniques afin d'améliorer la résilience de l'infrastructure technologique mondiale, a déclaré Ciaran Martin, ancien directeur du National Cyber Security Centre du Royaume-Uni.

La panne qui a frappé le monde devrait inciter les clients - et peut-être même les gouvernements et les régulateurs - à réfléchir davantage à la manière d'intégrer la diversification et la redondance dans leurs systèmes.

Peu probable que cela arrive

« Ce qui est unique dans cet incident, c'est l'échelle à laquelle il s'est produit, qui a probablement fait perdre des milliards à l'économie mondiale en raison des temps d'arrêt généralisés », a déclaré Neatsun Ziv, PDG d'OX Security, une société de cybersécurité. Elle a également fait perdre des milliards au bilan de CrowdStrike, dont le cours de l'action a chuté au début de la journée de l'incident.

Ce n'est pourtant pas le premier exemple de défaillance d'une seule entreprise affectant d'immenses réseaux mondiaux. Nous avons assisté à des dizaines de pannes massives de l'internet à la suite de défaillances de la part d'hébergeurs de sites sur le cloud et d'autres fournisseurs de systèmes. Le monde aurait dû tirer les leçons de l'un ou l'autre de ces incidents, qu'il s'agisse de la panne du logiciel Microsoft 365 en septembre 2020, de la panne de téléphone cellulaire à l'échelle nationale en février 2024 ou même de l'attaque des services publics américains en avril de cette année.

« Il est important de tirer les leçons de l'incident [de CrowdStrike] afin de réduire la probabilité qu'il se reproduise », déclare Simon Newman, cofondateur de Cyber London et membre du conseil consultatif de la Cyber Expo internationale. « J'encourage toutes les organisations à revoir régulièrement la résilience de leur chaîne d'approvisionnement ».

Cependant, nous ne l'avons pas fait, et nous ne le ferons probablement pas cette fois-ci non plus. Les solutions technologiques de pointe dont nous dépendons au quotidien sont souvent moins sophistiquées qu'il n'y paraît. Bien qu'elles semblent avoir été développées et codées avec soin, et qu'elles soient, à des fins de marketing, sans visage, elles sont le résultat d'un travail humain acharné qui a codé chaque ligne et vérifié chaque élément de ces solutions. Et les humains font des erreurs.

Le fait que cela se produise - et continue de se produire - devrait contribuer à mettre fin à l'idée que ces systèmes sont en quelque sorte infaillibles et que rien ne peut jamais leur arriver de mal. Dans un monde parfait, nous pourrions planifier des jeux autour de ces inévitabilités et créer des sécurités appropriées. Mais ce n'est pas le monde dans lequel nous vivons.

Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Sources : parts de marché de CrowdStrike, Microsoft (1, 2)

Et vous ?

Faut-il repenser notre confiance envers les entreprises de cybersécurité après l’incident chez CrowdStrike ? Dans quelle mesure ?
CrowdStrike : un avertissement pour les autres entreprises de cybersécurité ?

[Stéphane le calme]

La panne de Crowdstrike prouve-t-elle les dangers d'une société sans argent comptant ?
Plusieurs entreprises, qui dépendent fortement des systèmes de paiements numériques, n'étaient plus en mesure de traiter les paiements

L’incident mondial de panne informatique a entraîné des perturbations significatives dans divers secteurs, en particulier pour les entreprises qui dépendent fortement des systèmes de paiement numériques et sans argent comptant. L’Alliance pour le Choix des Paiements (PCA) soutient que l’incident de Crowdstrike devrait servir d’avertissement contre les changements majeurs dans la gestion de l’argent et des paiements dans la société moderne

Les supermarchés, les banques, les pubs, les cafés, les gares et les aéroports ont tous été touchés par la défaillance des systèmes Microsoft; de sorte que nombre d'entre eux n'ont pas pu accepter les paiements électroniques. L'impact a été particulièrement sévère pour les entreprises qui n'acceptent plus de paiement en liquide.

Waitrose a annoncé à ses clients qu'il n'était pas en mesure de traiter les paiements sans contact, tandis que la panne informatique mondiale semait le chaos au Royaume-Uni. Le supermarché de classe moyenne ne pouvait traiter que les paiements par carte à puce ou accepter des espèces dans les magasins, avant de confirmer que ses systèmes étaient de nouveau opérationnels. Les clients ont été informés qu'ils devaient retirer de l'argent aux distributeurs de cartes situés à proximité pour payer leurs achats.

Un panneau dans un Waitrose de Petersfield a été photographié indiquant que le magasin n'acceptait que les paiements en espèces car tous les « lecteurs de cartes étaient en panne », avec des excuses pour la gêne occasionnée. Une station de radio locale a rapporté que des files d'attente s'étaient formées à un guichet automatique au coin de la rue, les clients essayant de mettre la main sur des billets de banque.

Petersfield @waitrose is among the stores unable to process card payments this morning. It's linked to the global IT outage. People have been queuing at nearby Santander for cash. pic.twitter.com/kg7v9rZwp4

— Petersfield's Shine Radio (@shineradio) July 19, 2024

Les paiements en espèces ne sont pas obsolètes

La Payment Choice Alliance (PCA), qui fait campagne contre l'évolution vers une société sans numéraire, a énuméré 23 entreprises et groupes dont au moins une partie des points de vente n'acceptent que les cartes de crédit ou de débit. « Il y aura toujours des pannes », a déclaré Ron Delnevo, président de la PCA. « Mais s'il n'y a pas d'alternative, tout peut s'effondrer autour de vous ».

Selon UK Finance, qui représente les banques, les paiements en espèces ont augmenté l'année dernière pour la première fois depuis dix ans. Le nombre de personnes qui n'utilisent jamais de paiement en espèces, ou qui l'utilisent moins d'une fois par mois, a atteint 23,1 millions en 2021, mais est retombé à 21,6 millions l'année dernière. UK Finance a déclaré qu'il y avait « certainement encore une place » pour le paiement en espèces. « C'est à chaque entreprise de décider, mais nous pensons qu'il est bon de laisser le choix aux gens. La plupart des entreprises proposent encore des paiements en espèces ».

Le syndicat GMB a déclaré que cette panne confirmait ce qu'il disait depuis des années, à savoir que « l'argent en espèces est un élément essentiel du fonctionnement de nos communautés ». « Lorsque l'argent en espèces est retiré du système, les gens n'ont plus rien sur lequel s'appuyer, ce qui a un impact sur la façon dont ils s'acquittent de leurs tâches quotidiennes ».

Dennis Reed, directeur du groupe de campagne Silver Voices, qui représente les personnes âgées, a déclaré :

« C'est extrêmement inquiétant. Cela devrait constituer un avertissement important pour le gouvernement. Il est évident que les personnes âgées ont été particulièrement touchées, non seulement par l'aspect financier, mais aussi par les rendez-vous chez le médecin généraliste et tout le reste. Si les gens ne peuvent pas payer parce qu'ils ne peuvent pas utiliser leur téléphone, lorsque les systèmes tombent en panne - et c'est toujours le cas - les gens ne pourront pas accéder aux services vitaux, à la nourriture et aux choses essentielles de la vie.

« Avec cette société de plus en plus numérique, nous sommes tributaires de son bon fonctionnement. Mais nous n'avons aucun contrôle là-dessus. Nous mettons tous nos œufs dans le même panier. La sécurité future de la nation est en danger ».

Martin Quinn, directeur de campagne à la Payment Choice Alliance, a déclaré : « Avec les pannes informatiques qui se produisent maintenant avec une régularité alarmante, les entreprises devraient être attentives à n'accepter que les paiements par carte ».

Pourtant, de nombreux supermarchés préfèrent mettre en place des caisses en libre-service n'acceptant que les cartes, ce qui donne aux utilisateurs d'argent en espèces l'impression d'être des citoyens de seconde zone.

La Grande-Bretagne est en train de devenir une société sans argent en espèces, avec environ 25 millions de personnes âgées de plus de 16 ans, soit 45 % des Britanniques, qui déclarent ne pas emporter leur portefeuille lorsqu'ils sortent, selon le Daily Mail. Il est également devenu plus difficile de retirer de l'argent, et 23 000 distributeurs automatiques de billets devraient fermer d'ici à 2030.

Plusieurs pannes moins importantes et sans rapport avec le problème avaient déjà affecté les détaillants cette année

En mars, McDonald's, Tesco, Sainsbury's et Gregg's ont connu des problèmes avec leurs systèmes de paiement. Tous ces points de vente acceptent également les espèces.

En Chine et aux États-Unis, les autorités ont infligé des amendes aux commerces qui n'acceptaient pas les paiements en espèces. Delnevo a déclaré que le Royaume-Uni devrait adopter une loi obligeant tous les commerces à accepter les espèces.

Martin Quinn, directeur de campagne de la PCA, a déclaré que l'utilisation d'argent liquide permettait l'anonymat. « Je ne veux pas que mes données soient vendues et je ne veux pas que les banques, les sociétés de cartes de crédit et même les détaillants en ligne connaissent toutes les facettes de ma vie », a-t-il déclaré. Pour certains, il est également plus facile d'établir un budget en utilisant de l'argent en espèces ».

« Si je sors pour une soirée et que je décide de dépenser 50 livres sterling, je risque de me réveiller avec des éclats d'obus dans les poches. Mais si je suis au pub et que je me contente de taper, taper, taper, le lendemain matin, je me réveillerai et je découvrirai que j'ai dépassé mon découvert ».

Link a déclaré que, dans l'ensemble, ses distributeurs automatiques de billets étaient à des niveaux normaux, mais qu'ils étaient plus fréquentés aux abords des supermarchés.

Les avantages et les inconvénients d’une société sans argent en liquide

Avantages

• Efficacité et commodité : Les paiements numériques offrent une rapidité et une commodité inégalées. Plus besoin de transporter des espèces, de faire la queue aux guichets automatiques ou de compter des pièces de monnaie.
• Traçabilité : Les transactions numériques laissent des traces, ce qui peut être utile pour la lutte contre la fraude et le blanchiment d’argent.
• Réduction des coûts : Les paiements numériques sont souvent moins coûteux à gérer pour les entreprises et les gouvernements.

Les inconvénients et les risques

• Dépendance technologique : L’incident de Crowdstrike a montré à quel point nous sommes vulnérables aux pannes informatiques. Si les systèmes de paiement numériques échouent, cela pourrait paralyser l’économie.
• Perte d’anonymat : L’utilisation d’argent liquide permet de préserver l’anonymat des transactions. Avec les paiements numériques, chaque achat peut être suivi et analysé.
• Exclusion financière : Tout le monde n’a pas accès à des services bancaires ou à Internet. Une société sans argent liquide pourrait marginaliser davantage les populations défavorisées.

Conclusion

L’incident de Crowdstrike soulève des questions importantes sur la dépendance croissante aux paiements numériques et les risques potentiels d’une société sans argent en espèces. Il est essentiel de trouver un équilibre entre les avantages de la technologie et la nécessité de préserver l’anonymat, la résilience et la simplicité que l’argent liquide offre encore à de nombreuses personnes

Source : Payment Choice Alliance

Et vous ?

Quels sont les avantages et les inconvénients d’une société sans cash ? Explorez les aspects positifs et négatifs de la transition vers des paiements numériques exclusivement.
Comment pouvons-nous garantir la sécurité et la résilience des systèmes de paiement numériques ? Abordez la nécessité de protéger les infrastructures numériques contre les pannes et les cyberattaques.
Quelles alternatives au cash pourraient être envisagées pour préserver l’anonymat et la simplicité ? Une réflexion sur d’autres moyens de paiement qui pourraient offrir des avantages similaires au cash.
Quel rôle les gouvernements et les entreprises devraient-ils jouer dans la promotion ou la limitation de l’utilisation du cash ? Explorez les responsabilités des différentes parties prenantes dans la transition vers une société sans cash.
Comment pouvons-nous éduquer le public sur les risques et les avantages des paiements numériques ? Une discussion sur la sensibilisation et l’éducation des consommateurs concernant les choix de paiement.

[Jade Emy]

Microsoft analyse techniquement l'incident CrowdStrike, tout en étant aussi diplomatique que possible, il s'agit d'une gifle pour CrowdStrike qui a causé des pannes graves à d'autres systèmes d'exploitation.

Dans un billet de blog, Microsoft examine la récente panne de CrowdStrike et fournit un aperçu technique de la cause première. Tout en étant aussi diplomatique que possible, Microsoft explique comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Pour CrowdStrike, il s'agit certainement d'une gifle, surtout après que Crowdstrike ait tué un système d'exploitation tous les mois.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

Voici l'analyse technique de Microsoft de cet incident, tout en étant partageant les meilleures pratiques en matière de sécurité Windows :

Rapport d'incident : Les meilleures pratiques en matière de sécurité Windows pour l'intégration et la gestion des outils de sécurité

Windows est une plateforme ouverte et flexible utilisée par de nombreuses entreprises parmi les plus importantes au monde pour des cas d'utilisation à haute disponibilité où la sécurité et la disponibilité ne sont pas négociables.

Pour répondre à ces besoins :

1. Windows offre une gamme de modes d'exploitation parmi lesquels les clients peuvent choisir. Il est notamment possible de limiter l'exécution aux seuls logiciels et pilotes approuvés. Cela permet d'améliorer la sécurité et la fiabilité en faisant fonctionner Windows dans un mode plus proche des téléphones mobiles ou des appareils.
   
2. Les clients peuvent opter pour les fonctions intégrées de surveillance et de détection de la sécurité qui sont incluses dans Windows. Ils peuvent également choisir de remplacer ou de compléter cette sécurité par un large éventail de choix provenant d'un écosystème ouvert et dynamique de fournisseurs.

Dans ce billet de blog, nous examinons la récente panne de CrowdStrike et fournissons un aperçu technique de la cause première. Nous expliquons également pourquoi les produits de sécurité utilisent aujourd'hui des pilotes en mode noyau et les mesures de sécurité que Windows offre aux solutions tierces. En outre, nous expliquons comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Enfin, nous donnons un aperçu de la manière dont Windows améliorera l'extensibilité des futurs produits de sécurité.

CrowdStrike a récemment publié une analyse préliminaire de la panne. Dans son billet de blog, CrowdStrike décrit la cause première comme un problème de sécurité de la mémoire, en particulier une violation d'accès hors limites en lecture dans le pilote CSagent. Nous utilisons le débogueur de noyau Microsoft WinDBG et plusieurs extensions qui sont disponibles gratuitement pour tout le monde afin d'effectuer cette analyse. Les clients qui disposent de fichiers de crash peuvent reproduire nos étapes à l'aide de ces outils.

Sur la base de l'analyse par Microsoft des fichiers de crash du noyau Windows Error Reporting (WER) relatifs à l'incident, nous observons des schémas de crash globaux qui reflètent ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
FAULTING_THREAD:  ffffe402fe868040
 
READ_ADDRESS:  ffff840500000074 Paged pool
 
MM_INTERNAL_CODE:  2
 
IMAGE_NAME:  csagent.sys
 
MODULE_NAME: csagent
 
FAULTING_MODULE: fffff80671430000 csagent
 
PROCESS_NAME:  System
 
TRAP_FRAME:  ffff94058305ec20 -- (.trap 0xffff94058305ec20)
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
.trap
Resetting default scope
 
STACK_TEXT:  
ffff9405`8305e9f8 fffff806`5388c1e4     : 00000000`00000050 ffff8405`00000074 00000000`00000000 ffff9405`8305ec20 : nt!KeBugCheckEx 
ffff9405`8305ea00 fffff806`53662d8c     : 00000000`00000000 00000000`00000000 00000000`00000000 ffff8405`00000074 : nt!MiSystemFault+0x1fcf94  
ffff9405`8305eb00 fffff806`53827529     : ffffffff`00000030 ffff8405`af8351a2 ffff9405`8305f020 ffff9405`8305f020 : nt!MmAccessFault+0x29c 
ffff9405`8305ec20 fffff806`715114ed     : 00000000`00000000 ffff9405`8305eeb0 ffff8405`b0bcd00c ffff8405`b0bc505c : nt!KiPageFault+0x369 
ffff9405`8305edb0 fffff806`714e709e     : 00000000`00000000 00000000`e01f008d ffff9405`8305f102 fffff806`716baaf8 : csagent+0xe14ed
ffff9405`8305ef50 fffff806`714e8335     : 00000000`00000000 00000000`00000010 00000000`00000002 ffff8405`b0bc501c : csagent+0xb709e
ffff9405`8305f080 fffff806`717220c7     : 00000000`00000000 00000000`00000000 ffff9405`8305f382 00000000`00000000 : csagent+0xb8335
ffff9405`8305f1b0 fffff806`7171ec44     : ffff9405`8305f668 fffff806`53eac2b0 ffff8405`afad4ac0 00000000`00000003 : csagent+0x2f20c7
ffff9405`8305f430 fffff806`71497a31     : 00000000`0000303b ffff9405`8305f6f0 ffff8405`afb1d140 ffffe402`ff251098 : csagent+0x2eec44
ffff9405`8305f5f0 fffff806`71496aee     : ffff8405`afb1d140 fffff806`71541e7e 00000000`000067a0 fffff806`7168f8f0 : csagent+0x67a31
ffff9405`8305f760 fffff806`7149685b     : ffff9405`8305f9d8 ffff8405`afb1d230 ffff8405`afb1d140 ffffe402`fe8644f8 : csagent+0x66aee
ffff9405`8305f7d0 fffff806`715399ea     : 00000000`4a8415aa ffff8eee`1c68ca4f 00000000`00000000 ffff8405`9e95fc30 : csagent+0x6685b
ffff9405`8305f850 fffff806`7148efbb     : 00000000`00000000 ffff9405`8305fa59 ffffe402`fe864050 ffffe402`fede62c0 : csagent+0x1099ea
ffff9405`8305f980 fffff806`7148edd7     : ffffffff`ffffffa1 fffff806`7152e5c1 ffffe402`fe864050 00000000`00000001 : csagent+0x5efbb
ffff9405`8305fac0 fffff806`7152e681     : 00000000`00000000 fffff806`53789272 00000000`00000002 ffffe402`fede62c0 : csagent+0x5edd7
ffff9405`8305faf0 fffff806`53707287     : ffffe402`fe868040 00000000`00000080 fffff806`7152e510 006fe47f`b19bbdff : csagent+0xfe681
ffff9405`8305fb30 fffff806`5381b8e4     : ffff9680`37651180 ffffe402`fe868040 fffff806`53707230 00000000`00000000 : nt!PspSystemThreadStartup+0x57 
ffff9405`8305fb80 00000000`00000000     : ffff9405`83060000 ffff9405`83059000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34

En creusant davantage dans ce crash dump, nous pouvons restaurer le stack frame au moment de la violation d'accès afin d'en savoir plus sur son origine. Malheureusement, avec les données WER, nous ne recevons qu'une version compressée de l'état et nous ne pouvons donc pas désassembler à l'envers pour voir un ensemble plus large d'instructions avant le crash, mais nous pouvons voir dans le désassemblage qu'il y a une vérification de NULL avant d'effectuer une lecture à l'adresse spécifiée dans le registre R8 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
6: kd> .trap 0xffff94058305ec20
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=000000000000
000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
6: kd> !pte ffff840500000074
!pte ffff840500000074
                                           VA ffff840500000074
PXE at FFFFABD5EAF57840    PPE at FFFFABD5EAF080A0    PDE at FFFFABD5E1014000    PTE at FFFFABC202800000
contains 0A00000277200863  contains 0000000000000000
pfn 277200    ---DA--KWEV  contains 0000000000000000
not valid
 
6: kd> ub fffff806`715114ed
ub fffff806`715114ed
csagent+0xe14d9:
fffff806`715114d9 04d8            add     al,0D8h
fffff806`715114db 750b            jne     csagent+0xe14e8 (fffff806`715114e8)
fffff806`715114dd 4d85c0          test    r8,r8
fffff806`715114e0 7412            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114e2 450fb708        movzx   r9d,word ptr [r8]
fffff806`715114e6 eb08            jmp     csagent+0xe14f0 (fffff806`715114f0)
fffff806`715114e8 4d85c0          test    r8,r8
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
6: kd> ub fffff806`715114d9
ub fffff806`715114d9
                          ^ Unable to find valid previous instruction for 'ub fffff806`715114d9'
6: kd> u fffff806`715114eb
u fffff806`715114eb
csagent+0xe14eb:
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8]
fffff806`715114f0 4d8b5008        mov     r10,qword ptr [r8+8]
fffff806`715114f4 4d8bc2          mov     r8,r10
fffff806`715114f7 488d4d90        lea     rcx,[rbp-70h]
fffff806`715114fb 488bd6          mov     rdx,rsi
fffff806`715114fe e8212c0000      call    csagent+0xe4124 (fffff806`71514124)
fffff806`71511503 4533d2          xor     r10d,r10d
 
6: kd> db ffff840500000074
db ffff840500000074
ffff8405`00000074  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000084  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000094  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000a4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000b4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000c4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000d4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000e4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????

Nos observations confirment l'analyse de CrowdStrike selon laquelle il s'agit d'une erreur de sécurité de lecture hors limites dans le pilote CSagent.sys développé par CrowdStrike.

Nous pouvons également constater que le module csagent.sys est enregistré en tant que pilote de filtre de système de fichiers couramment utilisé par les agents anti-malware pour recevoir des notifications sur les opérations de fichiers telles que la création ou la modification d'un fichier. Les produits de sécurité s'en servent souvent pour analyser tout nouveau fichier enregistré sur le disque, comme le téléchargement d'un fichier via le navigateur.

Les filtres de système de fichiers peuvent également être utilisés comme un signal pour les solutions de sécurité qui tentent de surveiller le comportement du système. CrowdStrike a indiqué sur son blog qu'une partie de la mise à jour du contenu consistait à modifier la logique du capteur en ce qui concerne les données relatives à la création de tuyaux nommés. L'API du pilote de filtrage du système de fichiers permet au pilote de recevoir un appel lorsque l'activité d'un tuyau nommé (par exemple, la création d'un tuyau nommé) se produit sur le système et pourrait permettre la détection d'un comportement malveillant. La fonction générale du pilote correspond aux informations communiquées par CrowdStrike.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
6: kd>!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f

Nous pouvons voir que la version 291 du fichier du canal de contrôle spécifiée dans l'analyse de CrowdStrike est également présente dans le crash, ce qui indique que le fichier a été lu.

Déterminer la corrélation entre le fichier lui-même et la violation d'accès observée dans le crash dump nécessiterait un débogage supplémentaire du pilote à l'aide de ces outils, mais n'entre pas dans le cadre de ce billet de blog.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
!ca ffffde8a870a8290
 
ControlArea  @ ffffde8a870a8290
  Segment      ffff880ce0689c10  Flink      ffffde8a87267718  Blink        ffffde8a870a7d98
  Section Ref                 0  Pfn Ref                   b  Mapped Views                0
  User Ref                    0  WaitForDel                0  Flush Count                 0
  File Object  ffffde8a879b29a0  ModWriteCount             0  System Views                0
  WritableRefs                0  PartitionId                0  
  Flags (8008080) File WasPurged OnUnusedList 
 
      \Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys
 
1: kd> !ntfskd.ccb ffff880ce06f6970
!ntfskd.ccb ffff880ce06f6970
 
   Ccb: ffff880c`e06f6970
 Flags: 00008003 Cleanup OpenAsFile IgnoreCase
Flags2: 00000841 OpenComplete AccessAffectsOplocks SegmentObjectReferenced
  Type: UserFileOpen
FileObj: ffffde8a879b29a0
 
(018)  ffff880c`db937370  FullFileName [\Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys]
(020) 000000000000004C  LastFileNameOffset 
(022) 0000000000000000  EaModificationCount 
(024) 0000000000000000  NextEaOffset 
(048) FFFF880CE06F69F8  Lcb 
(058) 0000000000000002  TypeOfOpen

Nous pouvons exploiter le crash dump pour déterminer si d'autres pilotes fournis par CrowdStrike peuvent exister sur le système en cours d'exécution lors du crash.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcspcm4
lmDvmcspcm4
Browse full module list
start             end                 module name
fffff806`71870000 fffff806`7187d000   cspcm4     (deferred)             
    Image path: \??\C:\Windows\system32\drivers\CrowdStrike\cspcm4.sys
    Image name: cspcm4.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Jul  8 18:33:22 2024 (668C9362)
    CheckSum:         00012F69
    ImageSize:        0000D000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcsboot.sys
lmDvmcsboot.sys
Browse full module list
start             end                 module name
 
Unloaded modules:
fffff806`587d0000 fffff806`587dc000   CSBoot.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000C000
 
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f68924
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     system32\drivers\CrowdStrike\CSBoot.sys
REG_SZ              DisplayName                   CrowdStrike Falcon Sensor Boot Driver
REG_SZ              Group                         Early-Launch
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f694ac
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce196c4     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         3
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           1f
REG_EXPAND_SZ       ImagePath                     \SystemRoot\System32\drivers\CSDeviceControl.sys
REG_SZ              DisplayName                   @oem40.inf,%DeviceControl.SVCDESC%;CrowdStrike Device Control Service
REG_SZ              Group                         Base
REG_MULTI_SZ        Owners                        oem40.inf\0!csdevicecontrol.inf_amd64_b6725a84d4688d5a\0!csdevicecontrol.inf_amd64_016e965488e83578\0
REG_DWORD           BootFlags                     14
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f
 
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f69d9c
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce197cc     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           6
REG_EXPAND_SZ       ImagePath                     system32\DRIVERS\CSFirmwareAnalysis.sys
REG_SZ              DisplayName                   @oem43.inf,%FirmwareAnalysis.SVCDESC%;CrowdStrike Firmware Analysis Service
REG_SZ              Group                         Boot Bus Extender
REG_MULTI_SZ        Owners                        oem43.inf\0!csfirmwareanalysis.inf_amd64_12861fc608fb1440\0
6: kd> !reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch
!reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch

Comme le montre l'analyse ci-dessus, CrowdStrike charge quatre modules de pilote. L'un de ces modules reçoit un contrôle dynamique et des mises à jour de contenu fréquemment basées sur la chronologie de l'examen préliminaire post-incident de CrowdStrike.

Nous pouvons exploiter la pile unique et les attributs de ce crash pour identifier les rapports de crash Windows générés par cette erreur de programmation spécifique de CrowdStrike. Il convient de noter que le nombre d'appareils ayant généré des rapports de crash est un sous-ensemble du nombre d'appareils impactés précédemment partagé par Microsoft dans notre article de blog, car les rapports de crash sont échantillonnés et collectés uniquement auprès des clients qui choisissent de télécharger leurs crashs à Microsoft. Les clients qui choisissent d'activer le partage des rapports de panne aident les fournisseurs de pilotes et Microsoft à identifier les problèmes de qualité et les pannes et à y remédier.

Nous mettons ces informations à la disposition des propriétaires de pilotes afin qu'ils puissent évaluer leur propre fiabilité via le tableau de bord analytique du Hardware Dev Center. Comme nous pouvons le voir ci-dessus, tout problème de fiabilité tel que ce problème d'accès invalide à la mémoire peut entraîner des problèmes de disponibilité généralisés s'il n'est pas associé à des pratiques de déploiement sûres. Voyons pourquoi les solutions de sécurité s'appuient sur les pilotes du noyau sous Windows.

Pourquoi les solutions de sécurité s'appuient-elles sur les pilotes du noyau ?

De nombreux fournisseurs de solutions de sécurité, tels que CrowdStrike et Microsoft, s'appuient sur une architecture de pilotes de noyau, et ce pour plusieurs raisons.

• Visibilité et application des événements liés à la sécurité
  
  Les pilotes de noyau permettent une visibilité à l'échelle du système et la capacité de charger en début de démarrage pour détecter les menaces telles que les kits de démarrage et les kits racine qui peuvent se charger avant les applications en mode utilisateur. En outre, Microsoft fournit un ensemble riche de fonctionnalités telles que les rappels d'événements système pour la création de processus et de threads et les pilotes de filtre qui peuvent surveiller des événements tels que la création, la suppression ou la modification de fichiers. L'activité du noyau peut également déclencher des rappels pour que les pilotes décident quand bloquer des activités telles que la création de fichiers ou de processus. De nombreux fournisseurs utilisent également des pilotes pour collecter diverses informations réseau dans le noyau à l'aide de la classe de pilotes NDIS.
  
  
• Performances
  
  Les pilotes du noyau sont souvent utilisés par les fournisseurs de solutions de sécurité pour leurs avantages potentiels en termes de performances. Par exemple, l'analyse ou la collecte de données pour une activité réseau à haut débit peut bénéficier d'un pilote de noyau. Il existe de nombreux scénarios dans lesquels la collecte et l'analyse de données peuvent être optimisées pour un fonctionnement en dehors du mode noyau et Microsoft continue de s'associer à l'écosystème pour améliorer les performances et fournir les meilleures pratiques pour atteindre la parité en dehors du mode noyau.
  
  
• Résistance à la falsification
  
  Un deuxième avantage du chargement en mode noyau est la résistance à la falsification. Les produits de sécurité veulent s'assurer que leurs logiciels ne peuvent pas être désactivés par des logiciels malveillants, des attaques ciblées ou des personnes internes malveillantes, même lorsque ces attaquants ont des privilèges de niveau administrateur. Ils veulent également s'assurer que leurs pilotes se chargent le plus tôt possible afin de pouvoir observer les événements du système le plus tôt possible. C'est pour cette raison que Windows fournit un mécanisme permettant de lancer les pilotes marqués comme Early Launch Antimalware (ELAM) au début du processus de démarrage. CrowdStrike marque le pilote CSboot ci-dessus comme ELAM, ce qui lui permet de se charger au début de la séquence de démarrage.
  
  Dans le cas général, il existe un compromis que les fournisseurs de sécurité doivent rationaliser lorsqu'il s'agit de pilotes de noyau. Les pilotes de noyau offrent les propriétés susmentionnées au détriment de la résilience. Étant donné que les pilotes de noyau s'exécutent au niveau le plus fiable de Windows, où les capacités de confinement et de récupération sont par nature limitées, les fournisseurs de sécurité doivent soigneusement équilibrer des besoins tels que la visibilité et la résistance à la falsification avec le risque d'opérer en mode noyau.
  
  Tout code fonctionnant au niveau du noyau nécessite une validation approfondie parce qu'il ne peut pas tomber en panne et redémarrer comme une application utilisateur normale. Ce principe est universel dans tous les systèmes d'exploitation. En interne, chez Microsoft, nous avons investi dans le transfert de services Windows complexes du mode noyau vers le mode utilisateur, comme l'analyse des fichiers de police.
  
  Il est aujourd'hui possible pour les outils de sécurité d'équilibrer la sécurité et la fiabilité. Par exemple, les fournisseurs d'outils de sécurité peuvent utiliser des capteurs minimaux fonctionnant en mode noyau pour la collecte de données et la mise en œuvre, ce qui limite l'exposition aux problèmes de disponibilité. Le reste des fonctionnalités clés du produit, notamment la gestion des mises à jour, l'analyse du contenu et d'autres opérations, peuvent être effectuées de manière isolée en mode utilisateur, où la récupération est possible. Cela démontre la meilleure pratique qui consiste à minimiser l'utilisation du noyau tout en maintenant une posture de sécurité robuste et une forte visibilité.
  
  
  
  
  Windows propose plusieurs approches de protection en mode utilisateur pour lutter contre la falsification, comme les Enclaves de sécurité basées sur la virtualisation (VBS) et les Processus protégés que les fournisseurs peuvent utiliser pour protéger leurs processus de sécurité clés. Windows fournit également des événements ETW et des interfaces en mode utilisateur telles que l'interface d'analyse antimalware pour la visibilité des événements. Ces mécanismes robustes peuvent être utilisés pour réduire la quantité de code du noyau nécessaire pour créer une solution de sécurité, ce qui permet d'équilibrer la sécurité et la robustesse.

Comment Windows contribue-t-il à garantir la qualité des produits tiers liés à la sécurité ?

Microsoft collabore avec des fournisseurs de sécurité tiers dans le cadre d'un forum industriel appelé Microsoft Virus Initiative (MVI). Ce groupe, composé de Microsoft et de l'industrie de la sécurité, a été créé pour établir un dialogue et une collaboration au sein de l'écosystème de sécurité Windows afin d'améliorer la robustesse de l'utilisation de la plateforme par les produits de sécurité. Avec MVI, Microsoft et les fournisseurs collaborent sur la plateforme Windows pour définir des points d'extension fiables et des améliorations de la plateforme, ainsi que pour partager des informations sur la meilleure façon de protéger nos clients.

Microsoft travaille avec les membres du MVI pour assurer la compatibilité avec les mises à jour de Windows, améliorer les performances et résoudre les problèmes de fiabilité. Les partenaires MVI qui participent activement au programme contribuent à rendre l'écosystème plus résilient et bénéficient d'avantages tels que des briefings techniques, des boucles de retour d'information avec les équipes Produits de Microsoft et l'accès à des fonctionnalités de la plateforme antimalware telles que ELAM et Protected Processes. Microsoft fournit également une protection en cours d'exécution, telle que Patch Guard, afin d'éviter tout comportement perturbateur de la part des types de pilotes du noyau, tels que les logiciels anti-malveillants.

En outre, tous les pilotes signés par le Microsoft Windows Hardware Quality Labs (WHQL) doivent subir une série de tests et attester d'un certain nombre de contrôles de qualité, notamment l'utilisation de fuzzers, l'exécution d'une analyse statique du code et la vérification du pilote en cours d'exécution, entre autres techniques. Ces tests ont été mis au point pour garantir le respect des meilleures pratiques en matière de sécurité et de fiabilité. Microsoft inclut tous ces outils dans le kit de pilote Windows utilisé par tous les développeurs de pilotes. Une liste des ressources et des outils est disponible ici.

Tous les pilotes signés WHQL sont soumis aux contrôles d'ingestion et aux analyses de logiciels malveillants de Microsoft et doivent passer avec succès avant d'être approuvés pour la signature. En outre, si un fournisseur tiers choisit de distribuer son pilote via Windows Update (WU), le pilote passe également par les processus de pilotage et de déploiement progressif de Microsoft afin d'observer la qualité et de s'assurer que le pilote répond aux critères de qualité nécessaires pour une diffusion à grande échelle.

Les clients peuvent-ils déployer Windows dans un mode de sécurité plus élevé afin d'accroître la fiabilité ?

Windows est un système d'exploitation ouvert et polyvalent, et il peut facilement être verrouillé pour une sécurité accrue à l'aide d'outils intégrés. En outre, Windows augmente constamment les paramètres de sécurité par défaut, y compris des dizaines de nouvelles fonctions de sécurité activées par défaut dans Windows 11.

Windows a intégré des fonctions de sécurité pour se défendre. Il s'agit notamment de fonctions anti-programmes malveillants clés activées par défaut, telles que :

1. Secure Boot, qui aide à prévenir les logiciels malveillants de démarrage précoce et les rootkits en appliquant la signature de manière cohérente à tous les démarrages de Windows.
   
2. Measured Boot, qui fournit des mesures cryptographiques matérielles basées sur le TPM sur les propriétés de démarrage disponibles par le biais de services d'attestation intégrés tels que Device Health Attestation.
   
3. Intégrité de la mémoire(également connue sous le nom d'intégrité du code protégé par l'hyperviseur ou HVCI), qui empêche la génération de code dynamique au cours de l'exécution dans le noyau et contribue à garantir l'intégrité du flux de contrôle.
   
4. La liste de blocage des pilotes vulnérables, qui est activée par défaut, intégrée au système d'exploitation et gérée par Microsoft. Elle complète la liste de blocage des pilotes malveillants.
   
5. L'autorité de sécurité locale protégée est activée par défaut dans Windows 11 pour protéger une série d'informations d'identification. La protection des informations d'identification basée sur le matériel est activée par défaut pour les versions d'entreprise de Windows.
   
6. Microsoft Defender Antivirus est activé par défaut dans Windows et offre des fonctionnalités anti-malware dans l'ensemble du système d'exploitation.

Ces fonctions de sécurité fournissent des couches de protection contre les logiciels malveillants et les tentatives d'exploitation dans les versions modernes de Windows. De nombreux clients Windows ont tiré parti de notre base de sécurité et des technologies de sécurité Windows pour renforcer leurs systèmes, et ces capacités ont collectivement réduit la surface d'attaque de manière significative.

L'utilisation des fonctions de sécurité intégrées de Windows pour prévenir les attaques adverses telles que celles présentées dans le framework ATT&CK® de MITRE renforce la sécurité tout en réduisant les coûts et la complexité. Il s'appuie sur les meilleures pratiques pour atteindre une sécurité et une fiabilité maximales. Ces meilleures pratiques sont les suivantes :

1. Grâce à App Control for Business (anciennement Windows Defender Application Control), vous pouvez élaborer une politique de sécurité qui n'autorise que les applications de confiance et/ou critiques pour l'entreprise. Cette politique peut être conçue pour empêcher de manière déterministe et durable la quasi-totalité des logiciels malveillants et des attaques du type « vivre aux crochets de l'entreprise ». Elle peut également spécifier quels pilotes de noyau sont autorisés par votre organisation afin de garantir durablement que seuls ces pilotes se chargeront sur les terminaux gérés.
   
2. Utilisez l'intégrité de la mémoire avec une politique de liste d'autorisations spécifique pour protéger davantage le noyau Windows à l'aide de la sécurité basée sur la virtualisation (VBS). Associée à App Control for Business, l'intégrité de la mémoire peut réduire la surface d'attaque des logiciels malveillants ou des kits de démarrage du noyau. Elle peut également être utilisée pour limiter les pilotes susceptibles d'avoir un impact sur la fiabilité des systèmes.
   
3. Exécution en tant qu'utilisateur standard et élévation uniquement si nécessaire. Les entreprises qui suivent les meilleures pratiques en matière d'exécution en tant qu'utilisateur standard et de réduction des privilèges atténuent bon nombre des techniques ATT&CK® de MITRE.
   
4. Utiliser Device Health Attestation (DHA) pour surveiller les appareils afin d'appliquer la bonne politique de sécurité, y compris les mesures matérielles de la posture de sécurité de l'appareil. Il s'agit d'une approche moderne et exceptionnellement durable pour garantir la sécurité dans les scénarios de haute disponibilité et utiliser l'architecture Zero Trust de Microsoft.

Que se passera-t-il ensuite ?

Windows est un système d'exploitation autoprotégé qui a produit des dizaines de nouvelles fonctionnalités de sécurité et de changements architecturaux dans les versions récentes. Nous prévoyons de collaborer avec l'écosystème de lutte contre les logiciels malveillants afin de tirer parti de ces fonctions intégrées pour moderniser leur approche, en contribuant à soutenir et même à renforcer la sécurité et la fiabilité.

Il s'agit notamment d'aider l'écosystème en

1. fournissant des conseils, des meilleures pratiques et des technologies pour un déploiement sûr afin de rendre plus sûre la mise à jour des produits de sécurité.
2. réduisant le besoin de pilotes de noyau pour accéder à d'importantes données de sécurité
3. améliorant les capacités d'isolation et de lutte contre la falsification grâce à des technologies telles que les enclaves VBS récemment annoncées
4. permettant des approches de confiance zéro comme l'attestation d'intégrité élevée qui fournit une méthode pour déterminer l'état de sécurité de la machine sur la base de l'état des fonctions de sécurité natives de Windows.

Windows continue d'innover et d'offrir aux outils de sécurité de nouveaux moyens de détecter les menaces émergentes et d'y répondre en toute sécurité. Windows a annoncé un engagement autour du langage de programmation Rust dans le cadre de la Secure Future Initiative (SFI) de Microsoft et a récemment étendu le noyau Windows pour prendre en charge Rust.

Les informations contenues dans ce billet de blog sont fournies dans le cadre de notre engagement à communiquer les enseignements et les prochaines étapes après l'incident CrowdStrike. Nous continuerons à partager des conseils sur les meilleures pratiques de sécurité pour Windows et à travailler avec notre large écosystème de clients et de partenaires pour développer de nouvelles capacités de sécurité sur la base de vos commentaires.

CrowdStrike face aux incidents de panne graves

CrowdStrike a été à l'origine d'une panne informatique mondiale majeure en 2024 affectant Windows. Des problèmes similaires affectant certaines distributions Linux dans le passé ont ensuite été révélés sur des forums Internet. Il s'agissait parfois de problèmes relativement isolés, affectant une application spécifique ou un système d'exploitation qui n'est pas aussi largement déployé que d'autres.

• Avril 2024 : Un utilisateur de Hacker News a affirmé que dans la soirée du vendredi 19 avril 2024, Crowdstrike a publié une mise à jour logicielle défectueuse qui a fait planter les ordinateurs fonctionnant sous Debian Linux et les a empêchés de redémarrer normalement. L'utilisateur affirme également que CrowdStrike a reconnu le bogue un jour plus tard et en a déterminé la cause quelques semaines plus tard.
  
• Mai 2024 : Le 13 mai 2024, il a été signalé sur les forums de Rocky Linux que les serveurs équipés du logiciel CrowdStrike pouvaient se figer après une mise à niveau vers Rocky Linux 9.4. CrowdStrike a déclaré qu'ils étaient au courant du problème car il s'agissait du même problème dû à un capteur Linux en mode utilisateur combiné à des versions spécifiques du noyau 6.x.
  
• Juin 2024, incident chez Red Hat : Le 4 juin 2024, Red Hat a publié un article de solution relatif aux paniques du noyau et au processus du capteur Falcon qui a eu un impact sur Red Hat Enterprise Linux 9.4 utilisant le noyau 5.14.0 et un capteur Falcon de Crowdstrike.

Et récemment, il y a eu l'incident avec Microsoft Windows. Le 19 juillet 2024, CrowdStrike a publié une mise à jour logicielle du scanner de vulnérabilités Falcon Sensor. Des failles dans cette mise à jour ont provoqué des écrans bleus de la mort sur les machines Microsoft Windows, perturbant des millions d'ordinateurs Windows dans le monde entier. Les machines affectées ont été forcées de démarrer en boucle, ce qui les a rendues inutilisables.

Ce phénomène est dû à la mise à jour d'un fichier de configuration, le Channel File 291, qui, selon CrowdStrike, a déclenché une erreur de logique et provoqué le plantage du système d'exploitation. Bien que CrowdStrike ait publié un correctif pour corriger l'erreur, les ordinateurs bloqués dans une boucle de démarrage n'ont pas pu se connecter à Internet pour télécharger le correctif avant que Falcon ne se charge et ne fasse à nouveau planter l'appareil.

La solution recommandée par CrowdStrike consistait à démarrer en mode sans échec ou en mode de récupération Windows et à supprimer manuellement le fichier Channel 291, ce qui nécessite un accès administrateur local et, si l'appareil est chiffré par BitLocker, une clé de récupération. Microsoft a signalé que certains clients ont pu remédier au problème en redémarrant les appareils concernés jusqu'à 15 fois.

Le 22 juillet 2024, les actions de CrowdStrike ont clôturé la journée au prix de 263,91 $, avec une perte de 41,05 $ ou 13,46 %. Le 24 juillet 2024, CrowdStrike aurait contacté les clients concernés avec des courriels d'excuses contenant des cartes-cadeaux Uber Eats d'une valeur de 10 $. CrowdStrike a remporté les 2024 Pwnie Awards pour l'échec le plus épique.

Source : Microsoft

Et vous ?

Pensez-vous que cette analyse technique de Microsoft est crédible ou pertinente ?
Selon vous, quelles seront les impacts de ces différents incidents sur CrowdStrike ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Réforme de l'accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike. Windows deviendra-t-il un système plus fermé, à l'instar de macOS d'Apple ?

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture