Microsoft закроет антивирусам доступ к ядру Windows из-за сбоя CrowdStrike

Причиной сбоя стал привилегированный доступ антивирусного ПО к ядру Windows. Этот механизм позволяет антивирусам отслеживать вредоносные изменения в глубинах системы, но угрожает ее стабильности. Сбой в механизмах валидации обновлений позволил проскочить ошибке CrowdStrike, что привело к глобальному сбою.

На саммите представители компании обсудили с партнерами возможное решение проблемы. Компания рассматривала возможность полного отзыва доступа к ядру для сторонних программ, что сделало бы Windows похожей на macOS.

По итогам саммита разработчик решил сосредоточиться на разработке новой платформы, которая предоставляет расширенные возможности безопасности вне режима ядра. Для этого необходимо разработать механизмы защиты от несанкционированного доступа для программ безопасности и определить требования к сенсорам безопасности для антивирусного мониторинга.

Инцидент с CrowdStrike привел к сбоям около 8,5 миллиона компьютеров и серверов с Windows. Это привело к значительным перебоям в работе критически важных служб и нанесло ущерб на сумму не менее $10 миллиардов.