Microsoft bespreekt opties voor minder kerneltoegang voor securitysoftware

Microsoft wil werken aan de mogelijkheid om securityproducten te laten werken met minder toegang tot de kernel van Windows. Ook zouden securitybedrijven updates gefaseerd moeten uitbrengen. Dat zijn conclusies uit een top die het bedrijf organiseerde na de CrowdStrike-storing.

Microsoft benoemt die nieuwe maatregelen in een blogpost. Het bedrijf benadrukt dat het nog geen definitieve beslissingen heeft genomen, maar wel toewerkt naar securityproducten met minder kerneltoegang. "In onze gesprekken werden nieuwe platformmogelijkheden onderzocht die Microsoft in Windows wil zetten", zegt het bedrijf. "Windows 11's verbeterde beveiliging en beveiligingsstandaarden maken het mogelijk voor beveiligingsbedrijven om producten te maken die veilig werken buiten de kernelmodus."

Die vraag zou zowel vanuit Microsoft als vanuit externe bedrijven komen, zegt het bedrijf. Microsoft heeft met die bedrijven gesproken over de vraag wat zij daarvoor nodig hebben. Dat zijn vraagstukken die gaan over efficiëntie van systemen, hoe securityproducten zelf veilig blijven en welke benodigdheden de 'sensors' nodig hebben die beveiligingsproducten gebruiken. Microsoft heeft daar nog geen concrete plannen voor, maar zegt die vraagstukken in de toekomst verder uit te willen werken met andere bedrijven.

Microsoft komt tot die conclusie nadat het eerder dit jaar een conferentie aankondigde waarbij ook securitybedrijven zouden aansluiten voor discussie. Die conferentie kwam vanuit de grote CrowdStrike-storing in juli, waarbij miljoenen computers wereldwijd vastliepen met een blue screen of death. Dat kwam door een foutieve update van beveiligingssoftware CrowdStrike.

In de nasleep van die storing kwamen er steeds meer vragen naar boven over de manier waarop securitysoftware werkt, zeker in combinatie met besturingssystemen als Windows. Daarover wilden Microsoft, beveiligingsbedrijven, industrieën en beleidsmakers discussie voeren.

Die discussie draait ook om de manier waarop CrowdStrike updates uitbrengt. Een van de dingen die naar voren kwam in het onderzoek dat het bedrijf instelde, is dat CrowdStrike alle updates voor de Falcon Sensor-software in één keer naar alle klanten stuurde. Daar kwam veel kritiek op; dat zorgde ervoor dat de foutieve update niet tijdig kon worden opgespoord en teruggetrokken.

Microsoft zegt dat het ook daarover met beveiligingsbedrijven heeft gesproken. Ook daar trekt het geen definitieve conclusies over, maar het bedrijf zegt dat het heeft gesproken over zogenaamde safe deployment practices en dat het in de meeste gevallen verstandig is releases gefaseerd uit te voeren. "Deze discussie op de conferentie gaat door als een gezamenlijk gesprek met onze partners over het opstellen van een gedeelde aanpak en best practices die we in de toekomst zullen gebruiken", zegt het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-09-2024 14:36
82 • submitter: Anonymoussaurus

13-09-2024 • 14:36

82

Submitter: Anonymoussaurus

Lees meer

Microsoft wil securityproducten alleen via drivers kerneltoegang geven
Microsoft wil securityproducten alleen via drivers kerneltoegang geven Nieuws van 27 juni 2025
CrowdStrike ontslaat vijfhonderd werknemers, moet bedrijf efficiënter maken
CrowdStrike ontslaat vijfhonderd werknemers, moet bedrijf efficiënter maken Nieuws van 8 mei 2025
Microsoft test herstelfunctie voor Windows-pc's die niet willen opstarten
Microsoft test herstelfunctie voor Windows-pc's die niet willen opstarten Nieuws van 30 maart 2025
Microsoft stopt met actieve ontwikkeling van Windows Server Update Services
Microsoft stopt met actieve ontwikkeling van Windows Server Update Services Nieuws van 22 september 2024
Topman CrowdStrike gaat getuigen voor Huis van Afgevaardigden in september
Topman CrowdStrike gaat getuigen voor Huis van Afgevaardigden in september Nieuws van 30 augustus 2024
Microsoft organiseert conferentie om CrowdStrike-problemen te bespreken
Microsoft organiseert conferentie om CrowdStrike-problemen te bespreken Nieuws van 23 augustus 2024
CrowdStrike publiceert eindrapport onderzoek naar bug achter Windows-storing
CrowdStrike publiceert eindrapport onderzoek naar bug achter Windows-storing Nieuws van 6 augustus 2024
CrowdStrike-storing kwam door 'bug in codevalidator'
CrowdStrike-storing kwam door 'bug in codevalidator' Nieuws van 24 juli 2024
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden Nieuws van 22 juli 2024
Microsoft introduceert hersteltool voor CrowdStrike-bug
Microsoft introduceert hersteltool voor CrowdStrike-bug Nieuws van 22 juli 2024
Microsoft: CrowdStrike-storing trof 8,5 miljoen Windows-apparaten
Microsoft: CrowdStrike-storing trof 8,5 miljoen Windows-apparaten Nieuws van 21 juli 2024
Microsoft: geen verband tussen Azure- en CrowdStrike-storingen
Microsoft: geen verband tussen Azure- en CrowdStrike-storingen Nieuws van 19 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Microsoft Crowdstrike Kernel

Reacties (82)

-Moderatie-faq
82
82
31
5
1
42
Wijzig sortering

Sorteer op:

Weergave:
Janusch 13 september 2024 14:48
Heel goed dat ze dit overwegen en serieus nemen. Bizar dat zoiets als de CrowdStrike-situatie gebeurd.

Ik denk dat sowieso veel te veel Windows installaties té open zijn voor de reguliere Windows-gebruiker.
Het aandeel techneuten die écht snappen waar ze mee bezig zijn is een stuk kleiner dan het gros van de mensen die dat totaal niet weten en soms maar wat doen.
Ik snap dat dit laatste wat anders is dan de CrowdStrike-situatie, maar er mag naar mijn mening nu wel eens wat gedaan worden aan de openheid die Windows standaard biedt.
To_Tall @Janusch13 september 2024 15:02
Ik begrijp niet helemaal je bericht.

Crowdstrike is software dat voornamelijk door bedrijven wordt gebruikt om hun omgeving en endpoint devices te beveiligen.

Ja ze hebben grote f-up gemaakt.

Maar dat staat helemaal los van eindgebruikers die thuis een eigen pc hebben. Bedrijven die crowdstrike gebruiken timmeren hun endpoints ook helemaal dicht.

Pc van de thuis gebruiker is niet meer zoals Windows XP. Standaard admin. Veel gebruikers zetten nog steeds UAC uit wat ik slecht vind. Maar begrijp MS ook wel dat ze de vrijheid bij de gebruikers wil houden.

Ze hebben in de afgelopen jaren echt wel beter hun werk gedaan om Windows beter te beschermen. Het voor een normale gebruiker die bij de media markt een pc haalt de pc al voor ze hem aanzetten dicht timmeren geeft naar mijn ziens veel problemen. Van mij mag de optie om UAC uit te schakelen best weggehaald worden.

Dan blijft een klein deel gebruikers over ook binnen bedrijven met oude legacy software. Maar na 10 jaar UAC. Moeten bedrijven ook maar eens kijken of ze die legacy pakketten ook nog wel willen en moeten gebruiken.
hbvdh @To_Tall13 september 2024 21:55
Je hebt in mijn ogen gedeeltelijk gelijk, ja je zou uac niet moeten uitzetten, maar de gemiddelde thuis gebruiker heeft geen kritike software gehost op zijn thuis pc.

Waar het in het crowdstrike verhaal fout ging heeft te maken met hoe drivers werken in de kernel space van windows.
Om goed te functioneren als security product (denk aan elke virusscanner) moet deze zo dicht bij kernel zitten om alles zo goed mogelijk in de gaten te hebben. Buiten de kernel zelf mag er in de kernel space alleen maar drivers opgenomen worden die door Microsoft gekeurd zijn. Om dus als security product te werken moet je een driver maken die goedgekeurd is door MS, dat is een heel streng proces, kan even duren dus ook kostbaar.
Nu komen er elke keer nieuwe virussen en andere dreigingen waar een security product zich op moet aanpassen, na elke aanpassing (soms meerdere keren per dag) een nieuwe driver maken en deze door MS te laten keuren is niet werkbaar. Daarom "updaten" ze de driver door aanpassingen of instructies vanuit de user space in de driver te laden, hiermee veranderd de driver zelf niet maar hoe die werkt wel. De croudstrike update was een file die eigenlijk corrupt was en daarmee de driver ook corrupt maakte, een corrupte driver zorgt er voor dat de kernel meteen alle processen stopt en uit zelf bescherming een blauw scherm toont. Omdat deze driver in dit geval als critiek opstart proces aangemerkt was kun je de pc dus niet meer opgestart krijgen.
@Amiga3000
Overgins worden deze drivers niet gestart in veiligemodus, daarin worden alleen voorgedefineerde "standaard" windows dirvers gestart en doorom kun deze update dus ook via veilgemodus ongedaan gemaakt worden. Geen enkel antivirus product werkt (automatisch) in veiligemodus. Lostaande antivirus producten kunnen wel gestart worden in veilgemodus.
batjes
@hbvdh15 september 2024 10:08
Windows is overigens ook zelfherstellend. Alleen ging Crowdstrike vrolijk zichzelf updaten tijdens het opstartproces.

Nadat de update teruggetrokken was, was 1 van de oplossingen: Windows 3-15 keer herstarten. Na 3 gefaalde opstartpogingen begint het Windows zelfherstelprocess namelijk.

Op zich begrijpelijk dat Microsoft het gesprek maar aan gaat, want ze kunnen natuurlijk niet van elke ontwikkelaar hun capriolen fixen.
The Zep Man
@To_Tall13 september 2024 15:23
Dan blijft een klein deel gebruikers over ook binnen bedrijven met oude legacy software. Maar na 10 jaar UAC. Moeten bedrijven ook maar eens kijken of ze die legacy pakketten ook nog wel willen en moeten gebruiken.
10 jaar UAC? Vista is meer dan 17 jaar oud.
Blokker_1999
@The Zep Man13 september 2024 16:25
Die eerste implementatie was zo traumatisch dat vele mensen het alweer vergeten zijn ;)
To_Tall @Blokker_199913 september 2024 22:57
Oh nee ik gat ruim moeten neerzetten :+

Was ff vergeten dat men nog over suiker korrels kan struikelen.

Maar idd. Toen UAC uitkwam zette veel mensen maar ook bedrijven UAC uit. Dat had niet zozeer met de implementatie te maken maar meer dat drivers/services en ook doodnormale applicaties. Admin toegang nodig hadden. Waardoor UAC de eerste jaren meer problemen gaven dan dat het een welkome toevoeging was. Om minder gebruikers admin rechten te ontnemen.
To_Tall @The Zep Man13 september 2024 16:05
Ik had niet precies in m’n hoofd dat UAC al 17 jaar bestond.
Hardfreak @To_Tall14 september 2024 08:33
UAC is een beetje als the boy who cried wolf. De eerste paar keer denk je wel eens na, de 10e keer klik je gewoon op ok.
Ik zet UAC standaard uit, want het aantal applicaties dat dingen op mijn harde schijf wil wijzigen is enorm groot. Ik vraag mij eerlijk gezegd af of er überhaupt ooit een virus of hacker gestopt is geweest door UAC.

Dus voor mij mag die optie zeker blijven.

Hetzelfde trouwens voor die melding dat je iets wil starten dat je van het internet gehaald hebt en unsigned is (of zelfs signed). Dat is gewoon een applicatie starten/installeren met extra stappen.
halofreak1990 @Hardfreak14 september 2024 22:00
Ik zet UAC standaard uit, want het aantal applicaties dat dingen op mijn harde schijf wil wijzigen is enorm groot. Ik vraag mij eerlijk gezegd af of er überhaupt ooit een virus of hacker gestopt is geweest door UAC.
Dan doe je wat mij betreft toch echt iets fout. De enige software die iets in de mappen die door UAC worden beveiligd mogen doen, zijn installers en antieke software uit het (pre-)XP tijdperk. Admin-toegang is verder helemaal nergens voor nodig, ook toen al niet.
Hardfreak @halofreak199015 september 2024 08:30
Antiek, antiek, heleba nu voel ik mij weer oud :X

All jokes aside, het kan zijn dat het nu beter is, ik zou het niet weten. Echter, je home folders (documents, pictures, ...) zijn ook UAC protected (schijnbaar) dus zowat heel de Adobe suite zou UAC moeten triggeren.
hottestbrain @Hardfreak18 september 2024 11:38
Je home folders hebben user level toegang. Absoluut geen UAC voor nodig, immers de gebruiker heeft de rechten al by default.
Hardfreak @hottestbrain23 september 2024 12:38
Misschien dat dat iets van het Windows 7 tijdperk was :) .

Heb nog eens wat zitten lezen over UAC en Microsoft heeft best wel okay documentatie: https://learn.microsoft.c...ount-control/how-it-works . Wat mij wel vooral opvalt is dat 64-bit applicaties uit de boot vallen en dat veel alleen maar werkt als je een niet-admin user hebt. Dus in mijn geval maakt het allemaal niet veel uit :)
batjes
@Hardfreak15 september 2024 10:11
UAC is veel meer dan enkel die popup schermpjes.

Je kan hem prima een standje lager zetten, dan krijg je veel minder popup schermpjes. Maar als je UAC helemaal uitzet, zet je 1 van de belangrijkste security elementen van Windows uit.
Hardfreak @batjes15 september 2024 11:22
Ik zal hem nog is opzetten, zien hoe erg het tegenwoordig is.

//edit: HWInfo, HWMonitor, Firefox updater, ... en hij gaat weer uit :X

[Reactie gewijzigd door Hardfreak op 15 september 2024 12:14]

nout77 @Hardfreak15 september 2024 15:19
Dan heb je een afwijkende Windows configuratie, ben je misschien sinds Windows XP geupgrade en draai je standaard alles onder een admin account?

Op werk draaien alle Windows 10 en 11 machines met UAC volledig aan. Firefox draait onder de normale user account en update zichzelf automatisch zonder uac meldingen. Ook Windows update zonder uac draait op de achtergrond alle belangrijke updates mee.

HWMonitor en HWInfo draait bij ons niet.

Edit:
Eigenlijk is UAC nog vrij mild. Er zijn allerlei programma die door normale gebruikers kunnen worden geïnstalleerd (zoals Spotify en Chrome) die geen UAC melding veroorzaken en/of admin rechten nodig hebben.

[Reactie gewijzigd door nout77 op 15 september 2024 15:42]

Hardfreak @nout7715 september 2024 19:05
Nooit Windows geupgraded gehad, altijd fresh install. Misschien omdat ik zelf als admin draai en Firefox gewoon in Program Files is geïnstalleerd ipv in de "local" folder.
nout77 @Hardfreak15 september 2024 22:46
Dat zou het inderdaad kunnen zijn.
batjes
@nout7716 september 2024 19:56
Spotify en Chrome misbruiken de %APPDATA% mappen dan ook, dit is niet echt tegen te houden zonder van alles stuk te maken of andere methodes in te zetten om randy software tegen te gaan.. Firefox overigens ook als je de UAC melding bij installatie annuleert/weigert (super hinderlijk).

@Hardfreak Mijn Firefox staat ook gewoon in program files, geen melding bij updates. Normaal wordt er tijdens installatie een taak in je task scheduler aangemaakt, welke met de juiste rechten je van updates voorziet. Allicht ontbreekt deze. taskschd.msc in je run en even kijken of je daar een mapje Mozilla onder hebt hangen.

hwinfo en dat soort tools triggeren bij standaard UAC settings inderdaad een UAC melding. Speccy b.v. ook. Voor het uitlezen van danwel toegang tot bepaalde hardwaredetails is elevated access nodig. Speccy kan het ook zonder, maar ziet dan minder details. Dit heeft er mee te maken dat uitlezen van bepaalde hardware al een security issue kan zijn en dat in het verleden meermaals is geweest.

Het is een afweging, die paar keer per week dat ik ff op OK moet klikken tegenover een heel belangrijk aspect van je OS haar beveiliging compleet uitzetten. :Y)
Hardfreak @batjes23 september 2024 12:27
Ah, ik denk dat ik die update service uit heb staan :) . Ik krijg altijd mooi een melding dat er een nieuwe versie is en installeer die dan wanneer ik mijn browser wil herstarten. Niets zo hinderlijk als een nieuw tabblad openen en "You must restart firefox to open a new tab" te zien krijgen (al mijn cookies worden cleared als ik FF afsluit, dus als ik ergens mee bezig was kan ik terug overal aanmelden).

Ik blijf UAC nog altijd non-sense vinden. Op basis van de informatie die je krijgt kan je bijna geen goede beslissingen nemen. Het is niet dat ontwikkelaars zeggen "ja dit is normaal gedrag", het is en blijft een gok.
Ik weet niet eens of je zelfs een melding krijgt als malware gewoon een batch script start waarin regedit wordt aangeroepen.
wica @Janusch13 september 2024 15:05
Dit hele probleem is eigenlijk door Microsoft zelf gecreëerd.
Microsoft vind het vroeger handig, om hun eigen software toegang te geven tot interne API's. Waar de concurrent geen toegang had.
Met wat boetes en dreigen Microsoft op te splitsen, hebben ze de concurrentie toegang gegeven.

De enigste lange termijn oplossing, Is het O.S. Windows los te wekken van Microsoft. Zodat iedereen een gelijke kans heeft. En de concurrentie op applicaties toe kan nemen.
Blokker_1999
@wica13 september 2024 16:33
En het ene heeft nu eens niets met het andere te maken.

Ja, Microsoft had vroeger toegang tot bepaalde APIs die het verborgen hield voor anderen, maar dat ging niet om kernel toegang. Niet alleen dat, maar we spreken daar ook over begin jaren '90, lang voordat er sprake was van moderne kernels en hun toegang. Om de schuld hiervan nu te steken op iets wat +30 jaar geleden gebeurt is gaat ook wel ver imho.

En hoe gaat het losweken van Windows een oplossing biederen voor problemen zoals dit? De oplossing is hier net weer om toegang weer te ontnemen, om het zo veiliger te maken. En dan spreek jij over net iedereen een gelijke kans geven? Hoe zie je dat dan?
bossanova @Blokker_199913 september 2024 19:42
Een van de gevolgen achter closed source is Security through Obscurity. Zou het Open Source maken van de kernelcode net als bij veel Linux variaties niet een betere oplossing zijn? Het is natuurlijk vloeken in de M$ kerk maar ik bekijk het graag puur vanuit de techniek.

Daarnaast doorbreek je m.i. de hele kracht van een digital signage concept met een vendor allowance, continuous update mechanisme. Ik ben me ervan bewust dat het vaak goed gaat maar zie ook dat het fout kan gaan zoals in dit geval en bijv. bij de xz-repo.
nieuws: GitHub haalt repository van xz offline na vinden van malware

Bij de linux variant bleef de schade echter beperkt vanwege het uitrolmechanisme. Dat uitrolmechanisme lijkt dus de grote boosdoener te zijn en dat voorkom je, onder meer, door diverse varianten.
Hardfreak @bossanova15 september 2024 08:32
Het xz fiasco is voorkomen door één developer die geirriteerd was omdat zijn unit testen trager liepen.
We hebben deze keer veel geluk gehad.
batjes
@Blokker_199915 september 2024 10:15
Veel van die "verborgen API's" waar Microsoft zelf gebruik van maakte, waren API calls die nog in ontwikkeling waren.

Beetje eigen dogfood om te kijken hoe je die API calls verder will ontwikkelen of kan bepalen "Prima zo".

Die rechtspraak heeft best een stapeltje niet uit-ontwikkelde API features vast laten zetten, wat niet zo heel handig was. Maar een deel van de Windows 9x onstabiliteit kwam dus ook uit 3rd party developers die API's ging reverse engineeren, welke vervolgens een volgende Windows patch of service pack om zeep gehaald werd.

Wat ik b.v. dan wel weer raar vind, Windows moest alles open gooien voor iedereen. Maar Android en iOS zitten vol met API calls die alleen Apple/Google of fabrikant kan gebruiken.
Yalopa @wica13 september 2024 15:39
Wat gaat dat oplossen? Er is niet echt een dominante positie van deze of gene partij in de endpoint protection space?
Llopigat
@Yalopa13 september 2024 17:42
Nee maar dat is juist doordat de EU heeft afgedwongen dat de third parties er ook toegang toe kregen. Anders had dat ook helemaal in handen geweest van Microsoft.
DdeM @Llopigat14 september 2024 09:12
Fout. EU heeft afgedwongen dat third parties een gelijk speelveld krijgen. Het is microsoft die er voor het gekozen dan die iedereen maar kernel toegang te geven. Ze hadden ook de kernel voor hun eigen software dicht kunnen timmeren.
Llopigat
@DdeM14 september 2024 12:52
Oh ik had het niet over die kernel toegang. Maar over het gelijke speelveld.

Daardoor is Microsoft niet dominant geworden. Want dan had hun software een flink streepje voor gehad.
Amiga3000 @wica13 september 2024 15:57
Sorry maar snap de relatie niet met de toegang tot de kernel.

Probleem is ontstaan door Microsoft al veel eerder, Windows NT de eerdere versies waren daarin stabieler maar door de hardware abstraction layer ook veel trager.

Bij virus scanners is het probleem dat ze een nieuwe update uitbrengen zonder deze goed te testen.
Natuurlijk is ook het probleem dat de kernel beter afgeschermd moet worden, maar alle lagen tussen de kernel en virus scanners (en andere drives) zal het trager maken.

De vraag die ze moeten oplossen is hoe kan je een driver in de chain overslaan zonder dat je de beveiliging ook niet buiten werking zet.

En dan zul je denk ik ook user interaction nodig hebben. De virus scanners werken vaak ook in Safe mode anders had je gewoon de oude config kunnen gebruiken. (die starte dus ook niet meer)

Misschien moet je een safe boot partitie maken die je dan kunt starten.

Hoeveel blue screens hebben we niet gehad met de oude videokaart drivers?, die hebben het ook aangepakt en gebeurt steeds minder.
bantoo @wica13 september 2024 15:46
Onrealistisch verhaal. De hoeveelheid OS eigen APIs die door desktop apps gebruikt worden is niet veel gegroeid de afgelopen decennia en de hoeveelheid niet publiek beschikbare opties al helemaal weinig. Deze markt ligt al meer dan 10 jaar op z'n gat, wie bouwt er nu nog gigantische desktop apps tegenwoordig? De oude giganten als Office hadden een stukje speciale integratie maar dat was het eigenlijk wel. Ik kan me geen applicatie verzinnen op dit moment waar je een nadeel hebt als externe software fabrikant tegenover Microsoft.
Blokker_1999
@Janusch13 september 2024 16:12
Hoe is Windows te open? Zeker met kerneltoegang. Je hebt geen toegang tot de kernel als gebruiker. Enkel drivers die digitaal ondertekend zijn kunnen ingeladen worden in de kernel.

Het feit dat Windows zo open is, is net waarom het altijd zo populair geweest is. Het is dan geen open source, maar je kan wel zowat alles doen wat je wenst en je moet je niet veel aantrekken van compatibiliteit. Wat jij verwacht is net dat we dat gaan breken.

En kijk eens waar we dan gaan staan als we dat doen. Vele mensen zouden op hun achterste poten gaan staan als MS het zou voorstellen. Hun vrijheid zo beperken, hoe durven ze.
Creesch 13 september 2024 14:58
Zou mooi zijn als kernel level toegang beperkt wordt in de toekomst. Het zou helemaal mooi zijn als die over de hele lino gebeurt. Dus ook geen anti cheat systemen voor games die op dat niveau zitten te rommelen.
Blokker_1999
@Creesch13 september 2024 16:34
En dan cheaters die het er gewoon wel inhacken en geen mogelijkheid meer om het te stoppen.
R4gnax
@Blokker_199913 september 2024 20:13
Lees eens wat er al bestaat in de vorm van Isolated User Mode (IUM) processen. IUM is nl. onderdeel van die nieuwe set van beveiligde constructies waardoor kernel modus voor veel tools niet meer nodig is.

De klassieke 'ring 0' kernel is al gevirtualiseerd bovenop een hypervisor. Parallel aan de normale kernel draait er een secure kernel waar geen third party modules in kunnen draaien. Hier bovenop kunnen third-party user mode programma's draaien (zgn. trustlets) zonder dat daar debuggers aan gehangen kunnen worden, DLLs in geinjecteerd kunnen worden, system API calls voor gehookd kunnen worden en vervangen kunnen worden, etc.

Een trustlet draait in user mode en kan alles inspecteren waar het toegang toe heeft, met een hoger niveau van zekerheid en meer tamper-proof dan wanneer het als een third-party kernel module in de normale (non-secure) kernel zou draaien.


Sinds Windows 10 is het inzetten van kernel-mode voor zaken zoals anti-cheats totaal overbodig. Het is technisch achterhaald, en niets anders als een onverantwoord veiligheids- en stabiliteitsrisico.

[Reactie gewijzigd door R4gnax op 13 september 2024 20:28]

batjes
@R4gnax15 september 2024 10:21
Let wel dat secureboot en TPM een vereiste zijn om dat sinds Windows 10+11 in goede werking te kunnen hebben.

Die kernel cheats komt men mee, omdat die kernel zonder o.a. de TPM chip dus niet tamper-proof is.
R4gnax
@batjes15 september 2024 10:43
Niet precies. IUM leunt op de hypervisor functionaliteiten die collectief bekend staan als Virtual Secure Mode (VSM). Deze kunnen bijv. dan ook juist gebruikt worden om veilig een TPM in software te emuleren, als er geen hardware TPM beschikbaar is.

Veilig-- onder voorbehoud dat de hypervisor die in zaken als second-level address translation voorziet, zelf niet gecompromiteerd raakt, uiteraard. Dat is dan ook waar inderdaad wel Secureboot om de hoek komt. Die heb je nodig om te verifiëren dat alle onderdelen van de bootloader tot in de hoofdmoot van het OS correct digitaal ondertekend zijn, en er niet mee gerommeld is.

De kans dat mensen om te cheaten zo ver gaan dat ze daadwerkelijk de bootloaders etc. van Windows aan gaan proberen te passen is echter vrij gering. En dat is feitelijk nu ook al een issue, waar high-end cheats de cheat-software in een hypervisor zetten, nog voordat Windows geladen wordt.

Dat is een wapenwedloop die je ook niet kunt winnen, zonder dat er externe garanties gegeven kunnen worden vanuit een gesloten stuk van het hardware ecosysteem, dat niet gemanipuleerd kan worden. Dat is o.a. waarom Windows 11 een TPM v2 is gaan vereisen. v2 TPMs hebben nieuwe attestation APIs die hierbij kunnen helpen. Maar uiteindelijk is er dan nog steeds weinig wat de echte die-hard cheat-developers zou beletten om hun eigen hardware TPM modules te knutselen.

Het is een race naar de bodem die je beter niet kunt gaan spelen; maar waar je beter kunt erkennen dat geen enkele oplossing 100% perfect zal zijn - en dat ook niet hoeft te zijn. Je moet alleen het gebruik van cheats dermate ontmoedigen dat het niet de spuigaten gaat uitlopen.

[Reactie gewijzigd door R4gnax op 15 september 2024 10:48]

batjes
@R4gnax15 september 2024 11:13
Als de TPM emuleren afdoende was, zouden de eisen van Windows 11 niet zo streng zijn geweest. Voor fatsoendelijk MDM op Windows 10 heb je ook gewoon een TPM module nodig en is een virtuele TPM ook niet afdoende. Hele punt van TPM is dat daar, in principe, niemand zo maar bij kan en daar is die fysieke module voor nodig.

Volgens mij was er wel een hele interessante channel9 video van, maar ik zie dat Microsoft sneaky Channel9 opgeheven heeft. Erg jammer. :(

Ach, mensen betalen goud geld voor cheats. Alsof een paar technieken die je met het volgen van een YouTube tutorial eruit kan slopen mensen gaat tegenhouden.
R4gnax
@batjes15 september 2024 12:40
Als de TPM emuleren afdoende was, zouden de eisen van Windows 11 niet zo streng zijn geweest.
Voor veel doeleinden is dat ook afdoende.
Het enige doeleinde waar het niet afdoende is, is in scenarios waar het niet een externe malafide aanvallende partij is waar je het systeem tegen wilt beschermen - maar de gebruiker zelf, die mogelijk ter kwader trouw handelt.

De reden dat Windows 11 een v2 TPM vereist is, vermoed ik, juist die attestation capaciteiten die ik eerder aanhaalde omdat deze het mogelijk maken om lokaal te verifiëren dat Jan en alleman bijv. een correcte digitale licentiesleutel hebben om bepaalde software te mogen gebruiken. (Microsoft zelf experimenteert hier o.a. al mee middels Office / Microsoft 365, waarbij men voor het uitrollen voor business users de sleutel via de TPM beheerd kan laten worden.)

[Reactie gewijzigd door R4gnax op 15 september 2024 12:40]

batjes
@R4gnax16 september 2024 20:03
TPM kan sinds introductie al licentiesleutels opslaan.

Dat Microsoft er nu mee experimenteerd heeft er meer mee te maken dat er nu een hoge adoptierate is. Met Window 11 heeft nu elk systeem zo'n chip, terwijl dat voor Windows 10 alleen voor de wat recentere modellen geldt of zakelijke laptops.

Je kan bepaalde zaken pas standardiseren als de de markt er klaar voor is. En een groot probleem voor veel security op Windows 10 is: Er zijn te veel fallbacks en alles is uit te schakelen... want er zijn fallbacks.

Beetje zoals met TLS heel lang een enorm security probleem was, hoe zinvol was TLS2 of TLS3 als je gewoon TLS1 kon afdwingen d.m.v. m.i.t.m.
R4gnax
@batjes16 september 2024 23:02
TPM kan sinds introductie al licentiesleutels opslaan.
Licentiesleutels opslaan wel, ja. Maar pas sinds TPM v2 is het met de erbij gekomen functionaliteit ook reeël mogelijk geworden om er iets mee te doen in de zin dat bypassen moeilijk kan worden gemaakt.
GertMenkel
@batjes18 september 2024 11:56
Op Windows 10 heb je al games die niet draaien omdat de TPM niet nieuw genoeg is. Die fallbacks zijn door ontwikkelaars uit te schakelen.

De dedicated TPM's zijn juist degene die constant worden aangevallen en verslagen. Juist de fTPM's in CPU's zijn op het moment betrouwbaar.

Qua standaardiseren is het redelijk simpel: Windows 11 vereist TPM 2.0, en als je dat niet hebt, heb je pech. Daardoor kan ik mijn PC niet upgraden, maar ontwikkelaars kunnen er wel van uit gaan dat games op Windows 11 gewoon een TPM hebben. Of die TPM ook betrouwbaar is, is een tweede (hardware-TPM's zijn nogal kwetsbaar gebleken), maar je online-game Windows 11/TPM2.0-exclusive maken is genoeg.

Valorant doet dit soort dingen al, en die verdienen nog steeds 20 miljoen per skin bundle per maand. Ze gaan echt geen miljoenen riskeren om een handjevol Linuxgamers blij te maken.
GertMenkel
@R4gnax18 september 2024 11:49
De kans dat mensen om te cheaten zo ver gaan dat ze daadwerkelijk de bootloaders etc. van Windows aan gaan proberen te passen is echter vrij gering. En dat is feitelijk nu ook al een issue, waar high-end cheats de cheat-software in een hypervisor zetten, nog voordat Windows geladen wordt.
Daar ben ik niet zo zeker van. Als er een "free GTA online money.exe" komt die dat allemaal voor je regelt, worden rootkits weer populair.

Met hoe beschadigd Secure Boot de afgelopen jaren wel niet is geweest, wordt het nog een hele uitdaging om mensen met secure boot nog te kunnen laten spelen met dit systeem. Denk aan de legio computers die een testcertificaat in de root trust store hebben staan; iedereen met een USB-stick en tien minuten tijd kan secure boot daarmee omzeilen, een rootkit installeren, en de TPM verwarren.

De gratis cheats zullen hiermee misschien worden gestopt, maar er zijn mensen die serieus geld neerleggen om te cheaten in spelletjes. Juist nu de simpele Cheat Engine-cheats gaan stoppen met werken, zal de markt voor betaalde, werkende cheats alleen maar groter worden. Met het aan elkaar lijmen van bekende problemen kun je hier een paar ruggen mee verdienen.

Je eigen hardware-TPM-module maken gaat niet werken (je hebt de private key niet die het mogelijk maakt om hardware attestation daadwerkelijk te laten valideren) maar er zijn genoeg TPM's te vinden met relatief eenvoudige side channel attacks die de crypto aanvallen, waar je dat wellicht wel mee kan. Kwestie van tijd tot "hacked TPMs" aan het assortiment van cheaters wordt toegevoegd als anticheatsoftware daar gebruik van gaat maken.

Ik denk dat we nog een paar generaties wapenwedloop gaan zien, maar dat daarna de software gewoon niet meer online te spelen zal zijn op PC, of in beperkte mate. Het is een miljardenmelkkoe voor Take Two en Rockstar, die gaan ze niet zomaar opgeven.
Creesch @Blokker_199913 september 2024 16:49
Dan moeten ze om te cheaten echt een gehackte windows versie gaan installeren. Dit in tegenstelling tot de software nu gewoon installeren. Plus, ik heb liever een veel veiliger windows als daar tegenover staat dat in sommige games er wellicht meer cheaters rondlopen. En nogmaals, dat laatste betwijfel ik.
jacobkap @Creesch13 september 2024 18:15
Dan moeten ze om te cheaten echt een gehackte windows versie gaan installeren.
Het is gewoon mogelijk om Windows in debug/kernel developer mode te draaien, waarna je tijdelijk allerlei unsigned modules gewoon in de kernel kan draaien.

https://learn.microsoft.c...ring-development-and-test

Ik zou eigenlijk geen idee hebben hoe anti-cheat hiermee om gaat. Ik denk dat ze de debug mode ook wel checken, maar voor een potentiele cheater is het altijd nog mogelijk om iets in de kernel te laden.

[Reactie gewijzigd door jacobkap op 13 september 2024 18:16]

Creesch @jacobkap13 september 2024 18:44
Ik kan me zo voorstellen dat hier ook meer restricties op komen als er praktisch geen applicaties meer zijn die kernel toegang mogen.
MN-Power @Blokker_199913 september 2024 17:30
En dan cheaters die het er gewoon wel inhacken en geen mogelijkheid meer om het te stoppen.
Als Microsoft dat een heel stuk moeilijker maakt dan nu is de kans ook niet zo groot. En dan is het alsnog niet op mijn systeem. Die anti-cheat rootkits zijn me echt een doorn in het oog en mogen wat mij betreft verboden worden of in elk geval onmogelijk gemaakt. De oplossing is erger dan het probleem IMHO. Ik weiger in elk geval om dergelijk spul op mijn PC los te laten, dan maar geen spel.

Het is wat dat betreft net zo'n groot risico als games downloaden. Ik dacht echt dat we genoeg geleerd hadden van de Sony Rootkit affaire en Starforce, maar blijkbaar niet.

[Reactie gewijzigd door MN-Power op 13 september 2024 17:31]

Finraziel
@Creesch13 september 2024 15:43
Juist voor games zou ik denken... Als security software het niet meer mag uiteindelijk dan zou het toch bizar zijn dat het voor een spelletje nog wel gebeurt.
En als de cheat software ook niet meer op kernel niveau kan draaien dan is het volgens mij ook niet meer nodig dat de anti cheat daar ook gaat zitten.
field33P @Finraziel13 september 2024 17:32
Er is vrij weinig wat cheatsoftware ervan weerhoudt om op kernelniveau te draaien, of zelfs daarboven. Met fysieke (admin)toegang en voldoende wilskracht kan je gewoon een rootkit draaien voor je cheats.
Hydranet @Finraziel13 september 2024 20:04
Dat zou mooi voor het gaming op Linux en de Steam Deck zijn!
hbvdh @Creesch13 september 2024 21:58
Normaal is kernel toegang ook goed beveiligt, daar lag het ook niet aan. Als er iets fout gaat in kernel space (iets anders dan de kernel, maar wel de ruimte waar de kernel ook in zit) dan acteerd de kernel met een blauw scherm, ter protectie van zich zelf en tegen data corruptie.
Ra_gdd 13 september 2024 14:59
Wat ik me afvraag, gaat Microsoft die ook doen voor zijn eigen Windows Defender.
Indien niet, worden de andere anti-virus software benadeeld hierdoor?
Stroper @Ra_gdd13 september 2024 15:26
De vraag is of je dat als aparte dienst moet beschouwen.
Ingebouwde beveiliging lijkt mij net de kerntaak van een modern OS. Externe viruspakketten zijn idealiter overbodig.
In tegenstelling tot bv. een Office-pakket, browser, muziekspeler, daar mag er gerust concurrentie zijn en mag Microsoft zijn eigen producten geen oneerlijk voordeel geven in zijn OS.
Er zijn nauwelijks mensen die externe viruspaketten gebruiken op andere moderne OS'en(android, iOS, macOS, Linux). Zo zou het idealiter ook op Windows moeten zijn.
Creesch @Stroper13 september 2024 16:07
Dit is wel waar het de vorige keer dat Microsoft kernel toegang wilde beperken het is op stukgelopen. Ze zijn toen teruggefloten door de EU of FTC (weet even niet meer wie) omdat ze defender nog wel kernel level access gaven maar andere partijen niet.
Llopigat
@Creesch13 september 2024 17:43
Ja en dat is ook heel logisch. Je kan je eigen produkten niet voortrekken als vrijwel monopolist. Dan maak je de hele security markt kapot.

En wat krijg je dan? Windows defender wordt door 95% van de bedrijven gebruikt en ze gaan op hun lauweren zitten, doen er niks meer aan. Net zoals met IE4 destijds.
wooha @Creesch13 september 2024 23:59
Dat was de EU en er werd niet expliciet verboden om kernel level access te blokkeren. Microsoft had een API kunnen aanbieden waarop zowel Defender als andere beveiligingssoftware geïmplementeerd moesten worden. Een gelijk speelveld dus. Wie weet komt zo'n API er zoveel jaar later alsnog.

Ik bedenk me net dat performance wel een probleem zou kunnen zijn bij zo'n API.

Dit alles nog afgezien van de vraag of bedrijven een systeem wel door willen/mogen laten draaien als de beveiligingssoftware erop niet werkt. Dan zou het effectief niet uitmaken of die software in de kernel is gecrasht of erbuiten.

[Reactie gewijzigd door wooha op 14 september 2024 00:28]

Ra_gdd @Stroper13 september 2024 15:53
Maar niveau Windows Defender is belange niet zoals Bitdefender of Kaspersky.
Zorg je dan niet voor een vals gevoel van veiligheid?

Op Android draai ik ook een betalende anti-virus, namelijk Avast.
Dit omdat ik ook betalingen doen met GSM en tablet en bij Avast zit er ook een VPN bij ingebegrepen.
Creesch @Ra_gdd13 september 2024 16:09
Maar niveau Windows Defender is belange niet zoals Bitdefender of Kaspersky.
Is dat ook daadwerkelijk zo? Of is dat een aanname van jouw kant?

Het installeren van antivirus software op Android is all helemaal overbodig, tenzij je vaak APKs installeert van shady websites maar dan vraag je er zelf om. Avast heeft sowieso zelf ook vaak zat voor problemen gezorgd bij veel mensen.
Ra_gdd @Creesch13 september 2024 16:21
Kwaliteit Microsoft Defender is getest door onafhankelijke organisaties is staat niet in top 2 zoals Kaspersky en Bitdefender.
o.a. door AVcomperatives.org en AV-test.org

Meermaals is al gebleken dat sommige Android apps toch malware bevat komende uit de Google Store.
Ook kan je rommel via je browser in Android binnen trekken.

Avast op Windows is rommel maar voor Android zeker niet bij de slechtste anti-virus.
Xander2 @Ra_gdd13 september 2024 17:52
Microsoft Defender is een uitstekende virusscanner. Vaak genoeg oude schijven gescand met een hele rits antivirus-software maar zo goed als altijd overbodig. Misschien als je exotische hacks en vaak illegale software installeert dat je wat mist.

Ergens ook de enige leverancier die je kunt vertrouwen omdat ze ook het OS leveren en niet van shady praktijken afhankelijk zijn (kuch virus-total) om geld te verdienen.

Als je APK's via sites gaat binnentrekken vraag je om problemen. Avast, AVG is ook rommel, stuurt je data naar hun servers. Kaspersky is niet te vertrouwen vanwege hun klassieke binding met Rusland, een developer ontrus je niet. Nummer 1 bij veiligheid is vertrouwen hoe goed het product ook is.

Bitdefender altijd wel vertrouwen in gehad maar dat is een naam, geen garantie en wat mij betreft niet de investering waard. Als je als eindgebruiker in Windows software via de officiële kanalen bijhoudt en niet op elke executable klikt is er echt niet meer aan de hand dan op MacOSX of Linux. Ik heb nu al jaren de melding gescand niks aan de hand.

Als je binnen een jaar als gebruiker 2x een virusmelding krijgt ga je niet verantwoordelijk met je systemen om.
cariolive23 @Xander213 september 2024 18:50
Als je binnen een jaar als gebruiker 2x een virusmelding krijgt ga je niet verantwoordelijk met je systemen om.
Blame the victim!

Dus wanneer ik een alarm heb in huis en 2x per jaar gaat het alarm af, dan is het mijn fout dat iemand probeert binnen te dringen. Wat moet ik dan doen om minder vaak een alarm te krijgen? Uit zetten? Of moet ik onze TV en andere kostbaarheden maar gewoon op straat zetten zodat iemand het zonder in te breken kan afhalen?
Xander2 @cariolive2313 september 2024 19:11
Nee, dat is niet blame the victim en de vergelijking snijdt geen hout.

Je moet een actieve handeling uitvoeren om een virus te activeren, een executable/installer runnen. Wat je kunt downloaden via store en ms is al door menig virusscanner heen gegaan en levert geen problemen.

MS heeft met Windows z'n best gedaan de laatste jaren om dit op orde te brengen ook al ben ik geen fan, je moet nu echt moeite doen om rotzooi erop te krijgen (m.u.v. browser/mail waar ze weinig aan kunnen doen) en het is niet zo dichtgetimmerd dat het niet kan of dat je als poweruser met lege handen staat.

Dat mag ook wel eens gewaardeerd worden, want als je controle wilt komt daar ook verantwoordeiljkheid bij. Je mag best even nadenken bij wat je doet en als die virusscanner afgaat wordt je vriendelijk gewaarschuwd dat je het anders moet doen. Dit gaat om het alarm negeren, niet wat jij stelt.

Niet meteen !#$! in complexe situaties, als ik een heftruck rij moet ik ook uit m'n doppen kijken.
ibmpc @Xander213 september 2024 21:31
Je moet een actieve handeling uitvoeren
Als jouw organisatie nog met wachtwoorden werkt, dan mag je de victim wat mij betreft niet blamen. Het hele idee van modern hacking is dat je de gebruiker er juist toe verleidt om een actieve handeling te doen. En het idee van modern security is dat je juist wachtwoorden blokkeert zodat die actieve handeling niet compliant is. Laat de gebruiker lekker een WHFB PIN invoeren, want daar heeft de hacker niets aan.
batjes
@Ra_gdd15 september 2024 10:38
Ach, toen Microsoft Security Essentials introduceerde, knalde het overal de top 3 in.

Onder druk van andere anti-virus partijen, zijn de methodes waar op anti-virus scanners getest werden aangepast. Zodat Security Essentials ineens de top 5 uitdonderde.

UAC en andere veiligheidslagen werden namelijk uitgeschakeld. Security Essentials was namelijk voor veel van de veiligheid afhankelijk van andere Windows features, waar de 3rd party anti-virus paketten dat niet of minder waren.

Persoonlijk neem ik die AV tests niet serieus meer. Defender is een prima product, soms wat aggro met keygens/trainers en nocd/nosteam cracks of tools zoals ExplorerPatcher. Maar dat hoort er bij.
jeroentb @Stroper14 september 2024 13:02
Linux heeft ook AV nodig, genoeg aanvals mogelijkheden die ook echt wel uitgebuit worden, het gebeurt wellicht minder frequent maar dat wil niet zeggen dat het overbodig is.
GertMenkel
@Ra_gdd13 september 2024 15:40
Ik gok het niet, dan zou de EU ze een klap op de vingers geven voor het overtreden van de DMA.

Ik denk wel dat de API's zullen worden gemodelleerd naar hoe Windows Defender (en eventueel de bijbehorende endpoint protection) werkt, dus nieuwe features zullen externe antivirusbedrijven niet zo snel krijgen.
atthias 13 september 2024 15:23
kunnen ze de hele kernel toegang niet dichtzetten zijn we meteen van al die rootkits af die zich voordoen als anticheat software

ja ik weet dat de EU dat niet leuk vond toen MS dat wilde omdat anti virus bedrijven er ergens terecht bang waren voor monopolie van MS omdat MS dan stapje voor zou hebben op hun omdat windows defender wil in de kernel kan kijken

maar ik denk dat ik in dit geval wel voorstander ben van een uitzondering in ieder geval op de consumenten versie van windows

[Reactie gewijzigd door atthias op 13 september 2024 15:23]

OverTeeHill 13 september 2024 16:59
Hopelijk geld dit straks dan ook voor anticheat software op kernel niveau. Ik mijd nu alle games die dit soort invasieve anticheat gebruiken als de pest.
Olaf van der Spek 13 september 2024 15:02
Is er ook gesproken over package / software management zodat updating gestandaardiseerd is en beheerders er controle over hebben?
To_Tall @Olaf van der Spek13 september 2024 15:05
Het packagen en uitbrengen van software heeft niets met je kernel te maken. Software die toegang wil hebben tot de kernel zou je sowieso zo al moeten afvragen of je die in je omgeving wilt hebben.

Me bied via intune en sccm best wel wat tools voor het standaard en uniform uitbrengen van applicaties en en updates.

Maar zijn ook veel andere pakketten altiris bv. Vind draak van een pakket. Al met al hebben deze niets met de kernel te maken.
Olaf van der Spek @To_Tall13 september 2024 15:07
Me bied via intune en sccm best wel wat tools voor het standaard en uniform uitbrengen van applicaties en en updates.
Dat heeft dit CrowdStrike issue in ieder geval niet tegengehouden.
GertMenkel
@Olaf van der Spek13 september 2024 15:40
CrowdStrike kiest daar zelf voor, en de klant (nou ja, de CEO die golft met de CrowdStrike-salesman) kiest ervoor om belangrijke software te installeren die ze niet zelf kunnen managen. Daar heeft Microsoft niks mee te maken.

[Reactie gewijzigd door GertMenkel op 13 september 2024 15:41]

Verwijderd 13 september 2024 15:20
Ik vermoed dat dit opgelost gaat worden met eBPF: https://github.com/microsoft/ebpf-for-windows

Waarmee een stukje software (bijna) nooit meer je hele systeem kan laten crashen

[Reactie gewijzigd door Verwijderd op 13 september 2024 15:31]

R4gnax
@Verwijderd15 september 2024 10:57
Ik vermoed eerder dat het opgelost gaat worden door het API surface van de kernel drastisch te verkleinen en het vendors te verplichten om allerlei meuk die ze nu in de kernel frotten, naar Isolated User Mode processen te verplaatsen.

Dat kan met de opzet van hardware drivers zoals deze voor Windows is, voor een groot deel ook.
Moderne drivers bestaan vaak uit een low-level en high-level deel. Een low-level deel dat direct tegen de hardware praat, en vaak gedeeld is over een hele zgn. hardware class en een high-level deel dat de nuances van specifiekere apparatuur afhandelt. Veel van die high-level onderdelen kunnen in principe ook naar een IUM proces verhuizen. Evt. issues met overhead en performance wellicht daargelaten; maar daarvoor kunnen ook oplossingen gevonden worden.

En dat zal sowieso nog steeds sneller zijn dan eBPF wat in interpreter modus moet draaien omdat beveiligingsmaatregelen niet toestaan om dynamisch code te emitten en uit te voeren.

En misschien wordt het wel beiden: verhuist de VTL voor IUM processen van VTL1 naar VTL2 en wordt VTL1 exclusief gebruikt voor ePBF in compiled vorm.

[Reactie gewijzigd door R4gnax op 15 september 2024 11:02]

Servowire 13 september 2024 15:30
Dan gaan er een boel MDR achtige tools kapot, en dat is helemaal niet handig met een naderende NIS2
bewerkers 13 september 2024 17:09
Het is goed dat ze willen voorkomen dat het nog een keer gebeurd.

Maar wat als het wel gebeurd? Is er een goede manier om een systeem daar tegen te beschermen? Een tweede systeem draaien als backup? Een snelle manier van recovery met terugdraaien van updates? Of is zoiets onmogelijk of onpraktisch bij een live systeem? Hoeveel uur is nodig zoiets te herstellen?
Als dat niet kan dan hebben we nog steeds een single point of failure. Alleen dan met een kleinere kans en met minder gevallen in het veld. Kwalijke zaak.

[Reactie gewijzigd door bewerkers op 13 september 2024 17:10]

Verwijderd @bewerkers13 september 2024 18:11
Dit gaat wel verder dan alleen Crowdstrike. Je zult hier als beheerder zelf over moeten nadenken. Ik snap ook niet zo goed wat er precies met “kwalijke zaak” bedoeld wordt bij het theoretische scenario wat je zelf schetste?
bewerkers @Verwijderd16 september 2024 10:55
Ik bedoel dat kritieke systemen zoals ziekenhuizen en vliegvelden kennelijk geen backup of recovery hebben en dat daardoor een fout of een doelbewuste actie een systeem lang plat kan leggen.
michielonline 13 september 2024 17:17
Het grote probleem van het crowdstrike debacle was dat een crashende third party kernel driver kan zorgen voor oneindige BSODs.

Als er simpelweg een counter in Windows gezeten had welke na een aantal opeenvolgende BSODs de betreffende driver zou disablen was dit probleem nooit zo groot geworden. Bvb na 3 opeenvolgende BSODs crowdstrike.sys uitschakelen en normaal booten, dan was de impact verwaarloosbaar geweest. Ja de systemen zouden tijdelijk verminderd beschermd zijn geweest, maar dat was het dan ook. IT had simpelweg een update kunnen pushen en crowdstrike opnieuw enablen en weer verder met de orde van de dag.
Krommetenen @michielonline13 september 2024 18:24
Dit creëert wel weer een kwetsbaarheid?
Een downgrade opening.

Wat ik mij afvraag en back on topic.
Moest deze update gebruik maken van de sensor via de kernel?
Kon dat echt nergens anders?
En waar dan?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq