Cosa farà Microsoft per evitare un altro disastro come quello di CrowdStrike
Questa settimana Microsoft ha annunciato misure correttive a seguito del massiccio blackout di luglio di Crowdstrike che ha causato il malfunzionamento di milioni di dispositivi Windows in tutto il mondo. Tuttavia, queste modifiche non includono l’esclusione dei fornitori dal kernel di Windows, il “cuore” del sistema operativo. L’incidente è stato causato da un aggiornamento difettoso di CrowdStrike Falcon, che ha provocato il famigerato “blue screen of death” su 8,5 milioni di dispositivi paralizzando attività in vari settori per giorni.
Microsoft ha deciso di offrire agli amministratori IT uno strumento per distribuire correzioni sui dispositivi Windows anche quando questi non possono essere avviati. Se questa funzione fosse stata disponibile a luglio, i tempi di ripristino sarebbero stati ridotti da giorni a poche ore.
Un altro importante cambiamento riguarda la sicurezza informatica. In risposta alle richieste di fornire alternative all’accesso al kernel per i fornitori di sicurezza, David Weston, responsabile della sicurezza Windows intervistato da CRN, ha confermato che Microsoft sta lavorando su nuove funzionalità per consentire lo sviluppo di prodotti di sicurezza al di fuori della modalità kernel. Questi strumenti opereranno nella “user mode”, la stessa area del sistema operativo in cui funzionano le applicazioni.
Tuttavia, Microsoft non intende rendere obbligatorio l’uso della modalità “user mode”, anche perché molti fornitori di sicurezza sostengono che l’accesso al kernel sia essenziale per combattere le minacce informatiche. E’ il caso del CEO di Sophos Joe Levy, secondo il quale operare a livello di kernel è indispensabile per contrastare tentativi di disabilitazione o evasione degli strumenti di sicurezza. Senza accesso al kernel, gli strumenti di protezione potrebbero essere facilmente aggirati, compromettendo la capacità di fermare malware e ransomware.
Microsoft non ha ancora fornito dettagli specifici su come la modalità “user mode” risolverà queste problematiche. L’implementazione di questa opzione sarà testata a partire da luglio 2025 in una versione privata di anteprima, ma non ci sono tempistiche certe per la disponibilità generale.
Secondo Eric Grenier, analista di Gartner esperto di sicurezza degli endpoint, grandi cambiamenti nel mondo Windows richiedono anni. Grenier, con un passato da responsabile dell’ingegneria degli endpoint presso l’Università di Yale, ha spiegato che le modifiche sostanziali implicano sia la riscrittura di parti di Windows, sia l’adattamento delle piattaforme dei fornitori, un processo che necessita di tempo e coordinamento.