El pasado viernes 19 de julio, el mundo se despertaba en una suerte de caos cuando un cierto número de ordenadores de grandes empresas multinacionales, dejaban de funcionar. Windows no cargaba y, al parecer, la culpa recaía en una actualización.
A lo largo del día, descubrimos que, en realidad, el culpable no era propiamente el sistema operativo, sinó un componente de un software que forma parte del servicio de protección contra malware de CrowdStrike, una empresa de ciberseguridad que se dedica a ofrecer protección a grandes compañías. La actualización de dicho componente, que contenía un error, provocaba que el sistema operativo no pudiera arrancar correctamente, al funcionar el software a nivel de núcleo.
Tras un tiempo prudencial que ha dedicado al análisis del problema, Microsoft ha presentado sus conclusiones sobre el incidente, así cómo ha explicado las medidas que tomará para intentar que este no vuelva a repetirse.
El documento online empieza explicando que el análisis de la misma CrowdStrike determinó que la causa raíz del problema consistió en una violación del acceso a la memoria fuera de los límites en un controlador (CSagent.sys), y que este incidente subraya la complejidad y los riesgos asociados con la operación de controladores en modo kernel, un enfoque comúnmente utilizado por las soluciones de seguridad para asegurar la visibilidad y la resistencia contra manipulaciones malintencionadas.
Esta dependencia del kernel para las soluciones de seguridad se basa en varias razones; para empezar, los controladores a nivel del kernel facilitan una visibilidad total del sistema y la capacidad de cargar al inicio del sistema para detectar amenazas tempranas, como bootkits y rootkits, que podrían cargar antes que las aplicaciones en modo usuario. Además, Windows les ofrece a estos procesos capacidades avanzadas, como la creación de procesos e hilos y controladores, que supervisan eventos como la creación, eliminación o modificación de ficheros.
Sin embargo, operar en el modo kernel también comporta riesgos significativos; dado que los controladores del kernel funcionan en el nivel más fiable de Windows, cualquier fallo puede tener consecuencias graves, ya que las capacidades de contención y recuperación son limitadas. Por esta razón, es crucial que los proveedores de seguridad equilibren la necesidad de visibilidad y resistencia a manipulaciones con los riesgos inherentes al modo kernel, una forma en la que Microsoft traspasa la responsabilidad tanto a CrowdStrike, cómo a los demás productores de software que trabaje a este nivel del sistema.
La compañía de Redmond ha reconocido que esta forma de trabajar incrementa el riesgo de inestabilidad del sistema en el caso que una aplicación contenga un error, y ha trabajado en trasladar servicios complejos del núcleo de Windows (cómo la interpretación de archivos de fuentes) desde el modo kernel hacia el modo usuario, donde la recuperación es más viable.
Desde Microsoft también afirman que para garantizar la calidad de los productos de seguridad de terceros, colaboran con proveedores a través de la Iniciativa de Virus de Microsoft (MVI por sus siglas en inglés), un foro de la industria diseñado para mejorar la robustez de los productos de seguridad en la plataforma Windows.
Dicha colaboración permite definir puntos de extensión fiables, mejorar el rendimiento y abordar problemas de fiabilidad. Además, todos los controladores firmados por los Laboratorios de Calidad de Hardware de Windows (WHQL) deben pasar una serie de pruebas rigurosas que aseguran el cumplimiento de las mejores prácticas en seguridad y fiabilidad.
Microsoft también ha prometido seguir innovando en la forma en la que trabajan los programas de seguridad, disminuyendo la necesidad de operar con controladores en modo kernel y profundizando en el modelo Zero Trust.
