吳明宜2024 年夏天,企業防毒軟體業者 CrowdStrike 發佈有問題的軟體更新到數百萬台機器,引發部份版本 Windows PC 和伺服器停機,受害企業遍及航空公司如達美航空、機場、支付、消防單位或中小企業。微軟不希望此事重演。
CrowdStrike 事件究其實錯不在微軟,但是由於影響到 Windows,微軟很難完全免責。加上當時還陸續有一些微軟產品的資安事故,促使微軟執行長 Satya Nadella 和其他主管事後承諾改善產品安全性。
CrowdStrike 事件可能和防毒軟體在 Windows 內運作有關。資安廠商和防毒軟體一般都能存取 Windows 核心,這是位於硬體和大部份應用程式之間的 OS 的關鍵部門。但是大部份應用程式無法直接存取 Windows 核心,因為一個有臭蟲或是被惡意軟體劫持的應用程式若能存取 Windows 核心可能會搞掛整台系統。 CrowdStrike 事件之所以發生,是因為它在 Windows 開機階段就載入,大部份系統都沒能檢查,並在電腦當機前及時下載修補程式。
而在微軟本周宣佈多項強化 Windows 的措施中,包含了一個端點安全平台的私有預覽版,它將允許端點安全廠商開始打造「能在 Windows 核心外執行的解決方案。」
這表示防毒和端點防護等安全產品可以在使用者模式 (user mode) 中執行,一如一般應用程式。微軟企業與 OS 安全副總裁 David Weston 說,這項變更將讓安全開發商供高度穩定性及更簡單的回復機制,能在發生不預期事件時,減少對 Windows 裝置的影響。
這個預覽版已提供給參加微軟「Microsoft Virus Initiative (MVI)」的廠商,包括 CrowdStrike 、 Bitdefender 、 ESET 、 SentinelOne 、 Trellix 、趨勢科技和 WithSecure 。這些廠商都異口聲地說,「安全很重要,我們很高興和微軟合作強化安全。」
按照微軟的說法是,安全廠商可以開發「在使用者模式外」執行的安全應用程式,不確定這是否為微軟將第三方安全軟體趕出 Windows 核心的第一步,或是只是供第三方軟體開發商一個彈性選項。
來源:Ars Technica