Dua minggu lalu, dunia dikejutkan oleh banyaknya kasus sistem operasi Windows yang merasakan blue display screen of dying massal. Hal ini tentu sepertinya tidak terjadi secara acak dan hanya perangkat yang telah memasang pembaruan bermasalah dari crowdstrike yang akan merasakannya.
Baca Juga: Gangguan CrowdStrike Berdampak pada 8,5 Juta PC Windows di Seluruh Dunia
Saat ini, minggu lalu CrowdStrike memberikan uraian terperinci tentang mengapa hal ini terjadi, di mana mereka menyampaikan pembaruan Konten Respons Cepat mempunyai masalah dengan Templat Komunikasi Antarproses (IPC) yang divalidasi secara sepertinya tidak benar semasa pengujian. IPC yang gagal adalah sumber dari semua kekacauan tersebut.
Lalu bagaimana dengan Microsoft? Nah, hari yang lalu mereka menerbitkan sebuah studi teknis tentang gangguan yang disebabkan oleh motive force CrowdStrike. Menurut analisis, kerusakan tersebut disebabkan oleh kesalahan keamanan memori read-out-of-bounds pada motive force CrowdStrike CSagent.sys.
Sekarang modul csagent.sys ini terdaftar di Windows sebagai motive force filter out sistem report untuk menerima pembaruan tentang operasi report, termasuk pembuatan atau modifikasi report. Hal ini memungkinkan produk keamanan, termasuk CrowdStrike, untuk memindai report baru yang disimpan ke disk.
Microsoft dikecam!
Ketika insiden ini terjadi, ada cukup banyak kritik yang ditujukan kepada Microsoft karena itu mereka mengizinkan pengembang perangkat lunak pihak ketiga untuk mengakses kernel.
Dan mengenai hal itu, mereka telah menjelaskan mengapa mereka menawarkan akses kernel untuk produk keamanan dengan beberapa argumen, antara lain:
- Motive force kernel memungkinkan visibilitas di seluruh sistem dan kemampuan untuk memuat lebih awal dalam proses boot guna mendeteksi ancaman seperti boot equipment dan root equipment, yang bisa dimuat sebelum aplikasi mode pengguna.
- Microsoft menawarkan fitur-fitur seperti panggilan balik peristiwa sistem untuk pembuatan proses dan utas, motive force filter out berkas, dan cukup banyak lagi.
- Motive force kernel menawarkan kemampuan yang lebih baik untuk kasus-kasus seperti aktivitas jaringan berthroughput tinggi.
- Solusi keamanan ingin memastikan bahwa perangkat lunak mereka sepertinya tidak bisa dinonaktifkan oleh malware, serangan tertarget, atau orang dalam yang berniat jahat, terutama jika penyerang mempunyai hak istimewa tingkat admin. Windows menawarkan Early Release Antimalware (ELAM) di awal proses booting karena itu alasan ini.
Secara umum, izin ini ditujukan untuk menambah keamanan pada sistem, namun tentu saja motive force kernel juga mempunyai kelemahan karena itu berada pada stage Windows yang paling tepercaya, dengan begitu meningkatkan risiko timbulnya masalah.
Saran dari Microsoft
Dalam posting blognya, Microsoft menyarankan agar penyedia solusi keamanan menyeimbangkan kebutuhan seperti visibilitas dan ketahanan terhadap gangguan dengan implikasi pengoperasian dalam mode kernel. Andaikan, mereka bisa memakai sensor minimum yang masuk dalam mode kernel untuk pengumpulan dan penerapan knowledge, dengan begitu membatasi paparan terhadap masalah ketersediaan.
Saat ini, fitur lain, seperti manajemen pembaruan, penguraian konten, dan operasi lainnya, bisa dilakukan secara terpisah dalam mode pengguna.
Selain itu, Microsoft juga memaparkan fitur keamanan bawaan OS Windows yang telah menawarkan lapisan perlindungan terhadap malware dan upaya eksploitasi di Windows. Microsoft akan bekerja sama dengan ekosistem anti-malware dengan menggunakan Microsoft Virus Initiative (MVI) untuk mendapatkan manfaat dari fitur keamanan bawaan Windows guna lebih meningkatkan proteksi dan keandalan.
Dan inilah rencana Microsoft sementara waktu:
- Menyediakan panduan peluncuran yang aman, praktik sangat bagus, dan teknologi untuk membuatnya lebih kondusif dalam memperbarui produk keamanan.
- Mengurangi kebutuhan motive force kernel untuk mengakses data keamanan penting.
- Menyediakan kemampuan isolasi dan anti-perusakan yang ditingkatkan dengan teknologi seperti VBS enclave yang baru-baru ini diumumkan.
- Aktifkan pendekatan tanpa kepercayaan seperti pengesahan integritas tinggi, yang menyediakan metode untuk memutuskan standing keamanan mesin berdasarkan kesehatan fitur keamanan asli Windows.
Yah, semoga saja ke depannya masalah ini sepertinya tidak terjadi lagi karena itu bagaimanapun dampaknya sangat luas dan terlebih lagi general kerugiannya diprediksi sampai $ 5,4 miliar USD. Wah.
Berikan komentar di bawah dan berikan pendapat kalian ya.
Dengan cara: Microsoft, Neowin