2024-09-07 14:02:10
Détection et réponse aux points d’extrémité (EDR), sécurité des points d’extrémité, réponse aux incidents et aux violations
Une panne mondiale déclenche des appels pour un « accès moins invasif » aux fonctions essentielles
Mathew J. Schwartz (Euroinfosec) •
6 septembre 2024
Pourquoi Microsoft n’a-t-il pas empêché CrowdStrike de provoquer une panne informatique mondiale le 19 juillet 2024 ? (Image : Shutterstock)
Avant que cela ne soit terminé – alors même que des millions d’ordinateurs à la mi-juillet continuaient à tourner sans fin vers des spirales d’inutilité de type « écran bleu de la mort » – la question s’est posée : comment une telle chose a-t-elle pu se produire ?
Voir aussi : Le guide expert pour atténuer les attaques de ransomware et d’extorsion
La cause immédiate de l’incident est CrowdStrike, un fournisseur de solutions de détection et de réponse aux points d’accès, qui a un accès direct au noyau du système d’exploitation Microsoft. Il a effectué une mise à jour qui a terriblement mal tourné, entraînant des pannes affectant les aéroports, les banques et les hôpitaux du monde entier.
Les agences gouvernementales, les experts en sécurité et les fournisseurs ont identifié plusieurs domaines à revoir, notamment la résilience des systèmes d’exploitation Windows, les stratégies de déploiement des mises à jour de logiciels tiers et l’accès au système d’exploitation de niveau profond que de nombreux outils de sécurité actuels nécessitent.
L’incident du 19 juillet a perturbé 8,5 millions de machines Windows. Les pertes directes causées par les pannes sont estimées à plus de 5,4 milliards de dollars.
CrowdStrike a publié une analyse des causes profondes de la panne et a déclaré qu’il apportait déjà plusieurs modifications pour éviter qu’elle ne se reproduise, notamment en renforçant ses pratiques de test internes et en déployant des mises à jour logicielles par lots (voir : CrowdStrike lance des mesures de protection et cherche à atténuer l’impact des pannes).
Si CrowdStrike a attiré l’attention, les experts estiment que Microsoft est également responsable de l’incident. Windows n’a pas réussi à empêcher une mise à jour logicielle défectueuse de déclencher un cycle de redémarrage infini.
Redmond a annoncé son intention de remédier à ce problème. Dans un article de blog du 25 juillet, John Cable, responsable de la gestion des programmes chez Microsoft, dit« Windows doit donner la priorité au changement et à l’innovation dans le domaine de la résilience de bout en bout. »
Mardi, Microsoft prévoit d’organiser un sommet privé à huis clos avec des représentants du gouvernement et de l’industrie à son siège de Redmond, Washington, pour discuter de stratégies de déploiement sûres et de conception d’approches plus résilientes.
Attendez-vous à ce que le sommet « conduise à de nouvelles étapes dans les actions et initiatives à court et à long terme à poursuivre, avec l’amélioration de la sécurité et de la résilience comme objectif collectif », dit Aidan Marcuss, vice-président de Microsoft Windows et des appareils, dans un article de blog.
La résilience peut être facile à définir mais difficile à atteindre. Selon Dan Geer, expert en cybersécurité et en gestion des risques dit Dans un discours d’ouverture du Security of Things Forum de 2014 : « La source fondamentale du risque est la dépendance, en particulier la dépendance à l’égard de l’attente d’un état stable du système. »
Accord de concurrence
Pour Windows, ces problèmes ne sont pas seulement techniques. Ils touchent à des préoccupations de longue date en matière de concurrence et de protection des consommateurs liées à Microsoft, notamment à son navigateur et à ses logiciels. Pour résoudre ces problèmes, la société a conclu un accord en 2009 avec la Commission européenne, mise en gage de donner aux produits tiers avec lesquels il est en concurrence – y compris sur le plan de la sécurité – un accès égal aux composants internes de Windows.
De nombreux types de logiciels de sécurité, notamment les outils de détection et de réponse étendue (XDR), utilisent un accès au niveau du noyau pour obtenir des informations sur le système qui ne seraient pas disponibles autrement. « Ces informations sont extrêmement précieuses pour suivre l’activité des attaquants », a déclaré le cabinet de conseil informatique Forrester Research. dit dans un rapport récent.
L’accès tiers au noyau Windows reste indispensable pour que de nombreux outils de sécurité axés sur l’entreprise fonctionnent correctement, et la suppression de cette capacité entraînerait « en fin de compte un coût beaucoup plus élevé » en raison de la réduction correspondante des capacités défensives, a déclaré JJ Guy, PDG de Sevco Security, qui crée des logiciels de gestion des actifs informatiques.
CrowdStrike a souligné la nécessité constante d’un accès au niveau du noyau et du chargement de ses outils le plus tôt possible dans le cycle de démarrage de Windows. « Des produits tels que l’analyse du micrologiciel ou le contrôle des périphériques ne seraient pas possibles sans cette conception », a déclaré la société. dit dans l’analyse technique post-incident. « Microsoft soutient et approuve directement de telles capacités dans les produits de sécurité, notamment via l’architecture Early Launch Anti Malware – ELAM – qui a été spécifiquement intégrée à Windows 8.1 pour permettre ce type de surveillance et d’application. »
Mais l’accès au niveau du noyau de tous les outils de détection et de réponse aux points de terminaison n’est pas égal, dit Kevin Beaumont, expert britannique en cybersécurité, a déclaré dans un article de blog : « Certains de ces fournisseurs EDR, dont CrowdStrike, publient des mises à jour d’une manière qui leur permet d’exécuter le code de détection du noyau de manière non sécurisée, ce qui peut déclencher des écrans bleus. »
Préoccupations concernant l’égalité d’accès
Au nom de la résilience, Microsoft pourrait proposer de bloquer l’accès direct de tiers au noyau Windows et d’obliger les outils qui souhaitent l’utiliser à utiliser une application logicielle intermédiaire conçue par Microsoft, comme Windows Defender. Mais les experts considèrent que cette approche n’est pas envisageable pour les régulateurs, pour des raisons d’égalité d’accès.
« À moins que Microsoft ne soit disposé à retirer Defender de l’espace du noyau, les régulateurs ont une position justifiable », a déclaré Forrester.
Comme le montrent plusieurs pannes survenues au fil des ans, la plus récente impliquant CrowdStrike, l’accès au niveau du noyau comporte des risques. Cela est en partie dû au fait que certains types de logiciels XDR démarrent avant le système d’exploitation, pour empêcher les attaquants de le désactiver. En cas de problème, cela peut empêcher le système d’exploitation de se charger correctement, y compris au point où il a accès à Internet et pourrait alors être réparé automatiquement ou à distance. C’est ce qui a rendu la panne déclenchée par CrowdStrike si difficile à résoudre rapidement pour certaines organisations. De nombreuses équipes informatiques devaient accéder physiquement aux systèmes affectés, parfois dans des endroits éloignés.
Suite aux pannes déclenchées par CrowdStrike, Forrester recommande désormais aux équipes informatiques de limiter dans les systèmes critiques « le nombre d’agents de gestion des points de terminaison ayant accès au noyau, en optant plutôt pour des formes de gestion sans agent (c’est-à-dire la gestion Windows basée sur des API) ou des logiciels qui n’ont pas de composants de noyau. »
Les fenêtres peuvent-elles être réarchitecturées ?
Compte tenu de ces préoccupations, est-il temps de reconstruire Windows pour éviter que tout logiciel de sécurité – y compris celui de Microsoft – ne nécessite un accès au niveau du noyau ?
L’agence allemande de cybersécurité prévoit d’organiser une conférence dans le courant de l’année pour obtenir l’engagement des fournisseurs de sécurité à aller dans cette direction. Au minimum, l’Office fédéral de la sécurité de l’information, connu sous le nom de BSI, veut Microsoft, CrowdStrike et quiconque crée des logiciels de sécurité comparables veillent à ce que « le système d’exploitation concerné puisse toujours être démarré au moins en mode sans échec, même en cas de dysfonctionnements graves ».
À plus long terme, le BSI souhaite voir des changements dans Windows « offrant les mêmes fonctionnalités et le même niveau de protection qu’avant, mais qui nécessitent des autorisations moins invasives pour les systèmes d’exploitation », ce qui devrait mieux « minimiser l’impact des erreurs logicielles », a-t-il déclaré.
« Il n’est pas acceptable d’exécuter ces outils en mode noyau avec tous les accès que vous voyez aujourd’hui », a déclaré Thomas Caspers, directeur général de la stratégie technologique au BSI. dit Le Wall Street Journal.
La refonte de Windows pour supprimer la nécessité d’un accès au niveau du noyau serait une entreprise de grande envergure, mais elle n’est pas sans précédent. Même les « ordinateurs centraux et les mini-ordinateurs » du début des années 1980 pouvaient « automatiquement et efficacement » protéger la mémoire du noyau en « capturant et en gérant les erreurs », dit conseiller en cybersécurité et ancien CISO Ken Stephens.
Plus récemment, Linux a offert cette possibilité via le filtre de paquets Extended Berkeley, ou eBPF, qui permet d’exécuter le code du noyau dans un espace sécurisé tout en le gardant isolé en cas de problème. Lorsque Apple est passé à son propre silicium, l’entreprise en a profité pour cloisonner le noyau macOS.
« C’est un peu douloureux, mais c’est une évolution nécessaire », a déclaré Neil MacDonald, analyste en cybersécurité chez Gartner. dit Le Wall Street Journal.
Plusieurs fournisseurs de sécurité ont signalé leur volonté d’abandonner l’accès au niveau du noyau.
Tomer Weingarten, PDG de SentinelOne, qui est en concurrence avec CrowdStrike et Microsoft, a déclaré à Information Security Media Group que « nous serions tout à fait favorables à une sortie du noyau dès que possible », si Microsoft pouvait proposer une alternative convaincante, y compris « les bonnes interfaces pour obtenir le même type de niveau de visibilité ».
Pour les systèmes Linux et macOS, a-t-il déclaré, « nous avons déjà sorti le noyau ».
#est #temps #reconstruire #Microsoft #Windows
1725716954
