Dua minggu lalu, dunia dihebohkan dengan banyaknya masalah pada sistem operasi Windows layar biru kematian secara massal, hal ini pasti tidak terjadi secara acak dan hanya pada perangkat yang telah menginstal pembaruan kereta dari pemogokan massal hanya mereka yang mengalaminya.
Baca Juga: Pemadaman CrowdStrike Mempengaruhi 8,5 Juta PC Windows di Seluruh Dunia
Sementara itu, minggu lalu CrowdStrike merinci mengapa hal ini bisa terjadi dan menurut mereka di mana letaknya Pembaruan konten respons cepat ternyata kamu punya masalah Templat Komunikasi AntarProses (IPC). yang salah divalidasi selama pengujian. IPC yang gagal adalah sumber kekacauan ini.
Lalu bagaimana dengan Microsoft. Nah, kemarin mereka menerbitkan analisis teknis tentang masalah driver CrowdStrike? Berdasarkan analisa, kerusakan tersebut disebabkan oleh kesalahan keamanan memori melampaui batas di driver CSagent.sys CrowdStrike.
Modul csagent.sys sekarang terdaftar sebagai driver filter sistem file di Windows untuk menerima pembaruan pada operasi file, termasuk pembuatan atau modifikasi file. Hal ini memungkinkan produk keamanan, termasuk CrowdStrike, memindai file baru yang disimpan ke disk.
Microsoft dikecam!
Ketika kejadian itu terjadi, banyak kritik terhadap Microsoft karena mengizinkan pengembang perangkat lunak pihak ketiga mengakses kernel.
Dan pada catatan tersebut mereka menjelaskan mengapa mereka menawarkan akses kernel pada produk keamanan, dimana ada beberapa alasannya, antara lain:
- Driver kernel memberikan visibilitas seluruh sistem dan kemampuan untuk memuat di awal proses booting untuk mendeteksi ancaman seperti boot kit dan root kit yang dapat dimuat sebelum aplikasi mode pengguna.
- Microsoft menyediakan layanan seperti panggilan balik peristiwa sistem untuk membuat proses dan utas, driver filter file, dll.
- Driver kernel memberikan kinerja yang lebih baik dalam kasus-kasus seperti aktivitas jaringan dengan throughput tinggi.
- Solusi keamanan ingin memastikan bahwa perangkat lunak mereka tidak disusupi oleh malware, serangan yang ditargetkan, atau orang dalam yang jahat, meskipun penyerang memiliki hak istimewa setingkat administrator. Oleh karena itu, Windows menawarkan Early Launch Antimalware (ELAM) di awal proses booting.
Secara umum izin tersebut untuk keamanan sistem, namun tentunya driver kernel juga memiliki kekurangan karena dijalankan pada level Windows yang paling terpercaya sehingga meningkatkan risiko terjadinya masalah.
Saran dari Microsoft
Di blognya, Microsoft merekomendasikan agar penyedia solusi keamanan menyeimbangkan kebutuhan seperti visibilitas dan perlindungan terhadap gangguan terhadap risiko pengoperasian dalam mode kernel. Misalnya, mereka dapat menggunakan sensor yang berjalan dalam mode kernel minimal untuk pengumpulan dan penerapan data, sehingga membatasi paparan terhadap masalah ketersediaan.
Sementara itu, fungsi lain seperti mengelola pembaruan, menganalisis konten, dan operasi lainnya dapat dilakukan secara terpisah dalam mode pengguna.
Selain itu, Microsoft juga menjelaskan fitur keamanan bawaan sistem operasi Windows, yang menawarkan lapisan perlindungan terhadap malware dan upaya mengeksploitasi Windows. Microsoft bekerja sama dengan ekosistem anti-malware melalui Microsoft Virus Initiative (MVI) untuk memanfaatkan fitur keamanan bawaan Windows guna lebih meningkatkan keamanan dan keandalan.
Dan inilah yang direncanakan Microsoft sekarang:
- Memberikan panduan penerapan yang aman, praktik terbaik, dan teknologi untuk menjadikan pembaruan produk keamanan lebih aman.
- Ini mengurangi kebutuhan driver kernel untuk mengakses data keamanan penting.
- Teknologi ini memberikan peningkatan isolasi dan kemampuan anti-rusak dengan teknologi seperti VBS Enclave yang baru-baru ini diumumkan.
- Hal ini memungkinkan pendekatan tanpa kepercayaan seperti autentikasi berintegritas tinggi, yang menyediakan cara untuk menentukan status keamanan komputer berdasarkan status fitur keamanan asli Windows.
Nah semoga kedepannya masalah ini tidak terulang lagi, namun ternyata dampaknya sangat luas dan total kerugiannya diperkirakan mencapai 5,4 Miliar USD. Wow.
Teman-teman, silakan beri komentar dan beri tahu saya pendapat Anda.
Sumber: Microsoft, Neowin
