继不久前因crowdstrike安全更新故障导致全球约850万台windows系统电脑出现蓝屏故障,进而导致全球互联网服务大范围中断后。不久前crowdstrike方面公布了初步审查报告,指出此次事故是由内存安全问题引起的,特别是其csagent驱动程序发生越界读取访问冲突后。
日前微软方面发布相关声明,证实了crowdstrike的结论,即此次事故是由csagent.sys驱动程序中的越界内存安全错误引起。同时微软方面指出,csagent.sys在windows上已注册为文件系统过滤器驱动程序,以接收有关文件操作(包括创建或修改文件)的通知,允许包括crowdstrike在内的安全产品扫描保存到磁盘的任何新文件,例如通过浏览器下载文件。
据了解,微软方面是利用microsoft windbg内核调试器和数个免费扩展来执行此分析,所有拥有崩溃转储的客户也均可使用这些工具复制其步骤。
需要注意的是,在日前发布的这份声明中,微软方面还解释了其为安全产品提供内核级访问的原因、 介绍了windows为第三方凯发k8天生赢家一触即发的解决方案提供的安全措施、介绍了客户和安全供应商更好地利用windows集成安全功能来提高安全性和可靠性的措施,以及未来windows将如何增强安全产品的可扩展性等。
据微软方面表示,之所以为安全产品提供内核级访问,是因为内核驱动程序允许系统范围内的可见性,并能够在启动过程早期加载,以检测启动套件和根套件等威胁;内核驱动程序可为高吞吐量网络活动等情况提供更好的性能;内核驱动程序可实现防篡改等。其中在防篡改方面,微软方面进一步指出,安全供应商希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用,即使这些攻击者具有管理员权限,为此windows在启动早期提供了早期启动反恶意软件(elam)。
此外微软方面还强调,“在一般情况下,当涉及到内核驱动程序时,安全供应商必须合理权衡。内核驱动程序以牺牲复原能力为代价提供上述属性。由于内核驱动程序在最受信任的windows级别运行,其中包含和恢复功能本质上受到限制,因此安全供应商必须仔细平衡可见性和防篡改等需求与在内核模式下运行的风险”。
【本文图片来自网络】
