CrowdStrike
CrowdStrike CEO George Kurtz zei donderdag dat 97 procent van alle Windows-systemen waarop de Falcon-sensorsoftware draait, weer online zijn, een week nadat een update van de bedrijfsbeveiligingssoftware onder meer vluchten vertraagde en noodsystemen uitschakelde. De update, die ervoor zorgde dat Windows-pc’s het gevreesde Blue Screen of Death kregen en opnieuw opstartten, trof volgens de telling van Microsoft ongeveer 8,5 miljoen systemen, waardoor er nog ongeveer 250.000 overbleven om weer online te komen.
Vice-president van Microsoft, John Cable, zei in een blogpost dat het bedrijf “meer dan 5.000 24×7 support engineers heeft ingehuurd” om de rommel op te ruimen die is ontstaan door de CrowdStrike-update en hintte op veranderingen in Windows die zouden kunnen helpen – als ze niet in strijd zijn met toezichthouders in ieder geval.
“Dit incident maakt duidelijk dat Windows prioriteit moet geven aan verandering en innovatie op het gebied van end-to-end veerkracht”, schreef Cable. “Deze verbeteringen moeten hand in hand gaan met voortdurende beveiligingsverbeteringen en nauw samenwerken met onze vele partners, die ook veel waarde hechten aan de veiligheid van het Windows-ecosysteem.”
Cable wees naar VBS Enclaves en Azure Attestation als voorbeelden van producten die Windows zouden kunnen beschermen zonder toegang op kernelniveau te vereisen, zoals de meeste op Windows gebaseerde beveiligingsproducten nu doen (inclusief CrowdStrike’s Falcon-sensor). Maar hij ging niet in op de specifieke veranderingen die in Windows zouden kunnen worden aangebracht. Hij zei alleen dat Microsoft zal doorgaan met het “verharden van ons platform en nog meer zal doen om de veerkracht van het Windows-ecosysteem te verbeteren door openlijk en samen te werken met de bredere beveiligingsgemeenschap.” “
Wanneer beveiligingssoftware in de kernelmodus draait in plaats van in de gebruikersmodus, heeft deze volledige toegang tot de systeemhardware en -software, waardoor deze krachtiger en flexibeler wordt; dit betekent ook dat een slechte update zoals CrowdStrike voor veel meer problemen kan zorgen.
Recente versies van macOS hebben om deze reden kernelextensies van derden verouderd, wat een verklaring is waarom Macs niet werden verwijderd door de CrowdStrike-update. Maar de eerdere pogingen van Microsoft om externe beveiligingsbedrijven uit te sluiten van de kern van Windows (het meest recentelijk in het Windows Vista-tijdperk) stuitten op weerstand van de toezichthouders van de Europese Commissie. Dat niveau van scepsis is gerechtvaardigd, gezien de eerdere (en voortdurende) staat van dienst van Microsoft op het gebied van het gebruik van de marktpositie van Windows om zijn eigen producten en diensten te promoten. Elke poging vandaag de dag om de toegang van externe leveranciers tot de Windows-kernel te beperken zou waarschijnlijk soortgelijke kritiek oproepen.
Microsoft heeft de laatste tijd ook veel eigen beveiligingsproblemen gehad, tot het punt waarop het heeft beloofd het bedrijf te herstructureren om de beveiliging meer centraal te stellen.
De nasleep van CrowdStrike
CrowdStrike deed zijn eigen beloften na de storing, waaronder grondiger testen van de update en een gefaseerd systeem dat kon voorkomen dat een slecht updatebestand net zoveel problemen zou veroorzaken als die van vorige week. Het eerste rapport van het bedrijf over het incident wees op een fout in de testprocedures als oorzaak van het probleem.
Ondertussen zet het herstel zich voort. Sommige systemen konden worden gerepareerd door eenvoudigweg opnieuw op te starten, hoewel ze dit wel vijftien keer moesten doen. Dit zou de systemen de kans kunnen geven het nieuwe updatebestand te downloaden voordat ze crashten. Voor de rest moeten IT-beheerders deze herstellen vanaf back-ups of het slechte updatebestand handmatig verwijderen. Microsoft heeft een opstarttool uitgebracht die kan helpen het proces van het verwijderen van dat bestand te automatiseren, maar het vereist nog steeds dat elke getroffen Windows-installatie wordt uitgevoerd, zowel op een virtuele machine als op een fysiek systeem.
En niet alle CrowdStrike-hersteloplossingen worden goed ontvangen. Het bedrijf stuurde UberEats-promotiecodes ter waarde van $ 10 voor het ‘volgende kopje koffie of late night snack’ van enkele van zijn partners, wat aanleiding gaf tot oogrollen op sociale-mediasites (de code was ook kortstondig onbruikbaar omdat Uber deze als nep markeerde, volgens aan een CrowdStrike-vertegenwoordiger). Ter context schat analistenbureau Parametrix Insurance de kosten van verstoring voor Fortune 500-bedrijven op ongeveer 5,4 miljard dollar.