Analisis teknis Microsoft atas insiden CrowdStrike

Analisis teknis atas insiden pemadaman CrowdStrike

• Masalah keamanan memori pada driver CSagent, khususnya pelanggaran akses pembacaan di luar rentang, merupakan akar penyebabnya
• Analisis dilakukan dengan memanfaatkan debugger kernel WinDBG milik Microsoft dan berbagai ekstensi gratis yang tersedia

Fungsi driver CSagent.sys

• Modul CSagent.sys terdaftar sebagai driver filter sistem file yang umum digunakan pada agen antimalware
• Digunakan untuk menerima notifikasi atas operasi file seperti pembuatan atau modifikasi file
• Dipakai oleh produk keamanan untuk melakukan pemindaian setiap kali file baru disimpan ke disk, seperti saat mengunduh file melalui browser
• Juga dapat digunakan sebagai sinyal bagi solusi keamanan yang ingin memantau perilaku sistem
• CrowdStrike menjelaskan bahwa sebagian dari pembaruan konten adalah perubahan logika yang terkait dengan pembuatan named pipe pada sensor
• API driver filter sistem file memungkinkan driver menerima panggilan saat aktivitas named pipe terjadi di sistem (misalnya pembuatan named pipe), sehingga memungkinkan pendeteksian perilaku berbahaya

Berbagai modul driver CrowdStrike

• CrowdStrike memuat 4 modul driver: CSBoot, CSDeviceControl, CSAgent, dan CSFirmwareAnalysis
• Salah satunya sering menerima pembaruan kontrol dinamis dan konten, menurut timeline tinjauan pascainsiden CrowdStrike

Perubahan jumlah laporan crash terkait driver CrowdStrike

• Mengidentifikasi jumlah laporan crash Windows yang dihasilkan oleh kesalahan pemrograman CrowdStrike tertentu ini
• Jumlah perangkat yang menghasilkan laporan crash lebih sedikit daripada jumlah perangkat terdampak yang sebelumnya dibagikan Microsoft dalam posting blog sebelumnya
• Ini karena laporan crash diambil sebagai sampel dan hanya dikumpulkan dari pelanggan yang memilih untuk mengunggah laporan crash ke Microsoft
• Pelanggan yang memilih mengaktifkan berbagi dump crash membantu vendor driver dan Microsoft mengidentifikasi serta menyelesaikan masalah kualitas dan crash

Apakah Windows bisa diterapkan dalam mode keamanan tinggi?

• Windows dapat dikunci menggunakan alat bawaan, dan terus meningkatkan default keamanannya
• Di Windows 11, puluhan fitur keamanan baru diaktifkan secara default
• Fitur keamanan bawaan mencakup secure boot, measured boot, integritas memori, daftar blokir driver rentan, perlindungan Local Security Authority, Microsoft Defender Antivirus, dan lainnya
• Fitur keamanan ini menyediakan lapisan perlindungan terhadap malware dan upaya eksploitasi pada Windows modern
• Perusahaan yang mengikuti praktik terbaik seperti menjalankan sebagai pengguna standar dan hanya meningkatkan hak akses saat diperlukan dapat memitigasi banyak teknik MITRE ATT&CK

Rencana ke depan

• Microsoft akan bekerja sama dengan ekosistem untuk membantu vendor antimalware memodernisasi pendekatan mereka dengan memanfaatkan fitur bawaan Windows guna meningkatkan keamanan dan stabilitas
• Menyediakan panduan rollout yang aman, praktik terbaik, dan teknologi agar pelaksanaan pembaruan produk keamanan menjadi lebih aman
• Mengurangi kasus ketika driver kernel diperlukan untuk mengakses data keamanan penting
• Menyediakan isolasi yang ditingkatkan dan perlindungan dari manipulasi melalui teknologi seperti enclave VBS
• Mengaktifkan pendekatan zero-trust seperti attestation berintegritas tinggi, yaitu cara untuk menentukan status keamanan perangkat berdasarkan status fitur keamanan bawaan Windows
• Windows telah mengumumkan komitmennya terhadap bahasa pemrograman Rust sebagai bagian dari Secure Future Initiative Microsoft, dan memperluas dukungan Rust di kernel Windows
• Informasi dalam posting blog ini disediakan sebagai bagian dari komitmen untuk membagikan pelajaran dari insiden CrowdStrike dan menginformasikan langkah selanjutnya