Microsoft ha anunciado que planea realizar modificaciones en Windows para mejorar la seguridad, permitiendo a empresas como CrowdStrike y otros proveedores operar sin depender del kernel del Sistema Operativo. Esta decisión surge tras una cumbre de seguridad organizada por la compañía en su sede en Redmond, donde se discutieron cambios necesarios tras un incidente grave con CrowdStrike en julio, que afectó a 8,5 millones de PCs y servidores.
#1 Al contrario. Su idea es ampliar las funcionalidades del kernel.
Actualmente, para tareas básicas de detección y respuesta, las aplicaciones de seguridad necesitan tirar de ñapas como desarrollar drivers que hagan hooking en el kernel (de ahí el pantallazo azul de CrowdStrike Falcon). Su idea es limitar esto exponiendo una API, como hace Linux, de modo que puedan cargar módulos dinámicamente que no comprometan (tanto) la seguridad y la estabilidad del sistema.
#3 Lo que también, posiblemente, implicará fiar más la seguridad a los tiempos de respuesta de Microsoft. Lo de Crowdstrike fue una putada, pero reconozco que era un riesgo que compensa asumir. Estas empresas especializadas detectan y responden a patrones de ataque y parchean agujeros más rápido que los propios fabricantes de los sistemas operativos, a los que tienes que esperar por actualizaciones que en la mayoría de los casos distribuyen de forma mensual.
#3 No me lo tomes a mal pero lo que has dicho... es un poco cuñadil, si.
No sabes lo lejos que estas de la realidad. Por varios factores, Microsoft tiene esas APIs ( APIs muy ricas, frameworks, etc. desde hace decadas ya, incluso cuando linux no tenia ese tipo de APIs ) desde hace mucho tiempo. Ya hace años hacer hooks para antivirus, firewall, etc. es algo rarisimo, 2005/2006 fue, digamos, la ultima epoca de los hooks. Incluso antes de haber APIs de tipo hub/framework ( como el filter manager o WFP y otros, que van para o superan los 20 años ) habia el concepto de hacer attach a devices para ponerse en medio de stacks de ficheros, disco, red,... y se hacia todo sin hooks. Hoy dia ya te haces un minifilter de ficheros, un callout driver de WFP para red ( o un lightweight filter de NDIS6+ ) o te haces filtros PnP para otros temas...
Por no hablar de que hoy dia, que todo es x64 ya, tienes un bonito PatchGuard que, si no haces las cosas MUUUY bien, detecta los hooks o parches guarros a los que haces alusion y te da un pantallazo enseguida. Vamos, que no, que estamos en 2024, no en 2003.
Lo de CrowdStrike no tiene nada, NADA que ver con un hook.
Que puedan hacer algun framework de usuario... puede ser, pero ni hace falta ni tiene pinta de ser tan buena idea. Y por cierto, que se anden con ojo: Antitrust incoming
#7 Aunque no lo mencione en la información sobre su arquitectura, CrowdStrike Falcon sigue haciendo hooking (en 2024), no sólo de procesos del espacio de usuario, sino también en el kernel para funcionalidades "avanzadas".
CrowdStrike released an update of its Falcon Agent, part of its solution platform to prevent security breaches. This agent has privileged access to Microsoft Windows OS, hooking directly to the operating system's kernel (or core). The flaw caused the Blue Screen Of Death (BSOD) on Windows worldwide, affecting at least 8.5 million devices.
Cuando implementaron (de aquella manera) la protección contra parcheos del kernel la UE obligó a Microsoft a proporcionar las APIs y frameworks necesarios a las empresas de seguridad. Imagino que en este caso podría saldarse de igual manera.
Estan hablando dos amigos y uno le dice a otro: quiza tienes razon, si microsoft hiciera armas nucleares el mundo seria mejor, pero demos gracias que no decidio fabricar condones.
Comentarios
#2 Y menos con retardante: Me voy a correr ahora... no, dentro de 1 hora y 23 minutos, no... en 12 minutos y 7 segundos , no... en 1 día y 3 horas...
Van a hacer un microkernel
#1 Al contrario. Su idea es ampliar las funcionalidades del kernel.
Actualmente, para tareas básicas de detección y respuesta, las aplicaciones de seguridad necesitan tirar de ñapas como desarrollar drivers que hagan hooking en el kernel (de ahí el pantallazo azul de CrowdStrike Falcon). Su idea es limitar esto exponiendo una API, como hace Linux, de modo que puedan cargar módulos dinámicamente que no comprometan (tanto) la seguridad y la estabilidad del sistema.
#3 Lo que también, posiblemente, implicará fiar más la seguridad a los tiempos de respuesta de Microsoft. Lo de Crowdstrike fue una putada, pero reconozco que era un riesgo que compensa asumir. Estas empresas especializadas detectan y responden a patrones de ataque y parchean agujeros más rápido que los propios fabricantes de los sistemas operativos, a los que tienes que esperar por actualizaciones que en la mayoría de los casos distribuyen de forma mensual.
#3 No me lo tomes a mal pero lo que has dicho... es un poco cuñadil, si.
No sabes lo lejos que estas de la realidad. Por varios factores, Microsoft tiene esas APIs ( APIs muy ricas, frameworks, etc. desde hace decadas ya, incluso cuando linux no tenia ese tipo de APIs ) desde hace mucho tiempo. Ya hace años hacer hooks para antivirus, firewall, etc. es algo rarisimo, 2005/2006 fue, digamos, la ultima epoca de los hooks. Incluso antes de haber APIs de tipo hub/framework ( como el filter manager o WFP y otros, que van para o superan los 20 años ) habia el concepto de hacer attach a devices para ponerse en medio de stacks de ficheros, disco, red,... y se hacia todo sin hooks. Hoy dia ya te haces un minifilter de ficheros, un callout driver de WFP para red ( o un lightweight filter de NDIS6+ ) o te haces filtros PnP para otros temas...
Por no hablar de que hoy dia, que todo es x64 ya, tienes un bonito PatchGuard que, si no haces las cosas MUUUY bien, detecta los hooks o parches guarros a los que haces alusion y te da un pantallazo enseguida. Vamos, que no, que estamos en 2024, no en 2003.
Lo de CrowdStrike no tiene nada, NADA que ver con un hook.
Que puedan hacer algun framework de usuario... puede ser, pero ni hace falta ni tiene pinta de ser tan buena idea. Y por cierto, que se anden con ojo: Antitrust incoming
En fin.
#7 Aunque no lo mencione en la información sobre su arquitectura, CrowdStrike Falcon sigue haciendo hooking (en 2024), no sólo de procesos del espacio de usuario, sino también en el kernel para funcionalidades "avanzadas".
CrowdStrike released an update of its Falcon Agent, part of its solution platform to prevent security breaches. This agent has privileged access to Microsoft Windows OS, hooking directly to the operating system's kernel (or core). The flaw caused the Blue Screen Of Death (BSOD) on Windows worldwide, affecting at least 8.5 million devices.
https://medium.com/devops-cloud-it-career/learning-from-the-crowdstrike-outage-mitigate-risks-prepare-for-incidents-c6cc00e6c417
que se anden con ojo: Antitrust incoming
Cuando implementaron (de aquella manera) la protección contra parcheos del kernel la UE obligó a Microsoft a proporcionar las APIs y frameworks necesarios a las empresas de seguridad. Imagino que en este caso podría saldarse de igual manera.
Israel qué opina de todo esto?
#5 SentinelOne es israeli y esta en esas reuniones, pero... que tiene que ver ?
Me recordó a un chiste:
Estan hablando dos amigos y uno le dice a otro: quiza tienes razon, si microsoft hiciera armas nucleares el mundo seria mejor, pero demos gracias que no decidio fabricar condones.