Dua minggu lalu dunia sempat dihebohkan dengan banyaknya kasus sistem operasi Windows yang mengalami blue screen of dead secara masal, hal ini tentu tidak sembarangan terjadi dan hanya perangkat yang telah menginstall update buggy dari crowdstrike saja yang akan mengalaminya.
Baca Juga : Gangguan CrowdStrike Pengaruhi 8.5 Juta PC Windows Diseluruh Dunia
Nah sementara itu, minggu lalu CrowdStrike telah memberikan rincian mendetail kenapa hal ini dapat terjadi, dimana menurut mereka Rapid Response Content update ternyata memiliki masalah pada InterProcess Communication (IPC) Template yang divalidasi tidak benar ketika pengujian. IPC yang gagal tersebutlah sumber dari semua kekacauan ini.
Lalu bagaimana dengan Microsoft?, nah kemarin mereka telah menerbitkan analisis teknis terkait gangguan yang disebabkan oleh driver CrowdStrike. Menurut analisa tersebut, kerusakan disebabkan oleh kesalahan read-out-of-bounds memory safety pada driver CSagent.sys milik CrowdStrike.
Nah modul csagent.sys ini terdaftar di Windows sebagai driver filter sistem file untuk menerima update tentang operasi file, termasuk pembuatan atau modifikasi file. Hal ini memungkinkan produk keamanan, termasuk CrowdStrike, untuk memindai file baru yang disimpan ke disk.
Microsoft kena kritik!
Saat insiden tersebut terjadi, ada banyak kritikan yang dilontarkan ke Microsoft karena mereka mengizinkan pengembang perangkat lunak pihak ketiga mengakses kernel.
Dan mengenai hal tersebut, mereka telah menjelaskan mengapa mereka menawarkan akses kernel untuk produk keamanan dimana ada beberapa alasan yang mencakup:
- Driver kernel memungkinkan visibilitas di seluruh sistem dan kemampuan untuk memuat lebih awal dalam proses boot guna mendeteksi ancaman seperti boot kit dan root kit, yang dapat dimuat sebelum aplikasi mode pengguna.
- Microsoft menawarkan fitur-fitur seperti system event callbacks untuk pembuatan process and thread creation, file filter drivers, dan banyak lagi.
- Driver kernel menawarkan kinerja yang lebih baik untuk kasus-kasus seperti aktivitas jaringan berthroughput tinggi.
- Solusi keamanan ingin memastikan bahwa perangkat lunak mereka tidak dapat dinonaktifkan oleh malware, serangan tertarget, atau orang dalam yang berniat jahat, bahkan ketika penyerang tersebut memiliki hak istimewa setingkat admin. Windows menawarkan Early Launch Antimalware (ELAM) di awal proses booting karena alasan ini.
Secara umum, izin tersebut dimaksudkan untuk menambah keamanan pada sistem, namun tentu driver kernel juga memiliki kekurangan karena berjalan pada level Windows yang paling tepercaya, sehingga meningkatkan risiko untuk terjadinya masalah.
Saran dari Microsoft
Dalam halaman blognya, Microsoft menyarankan penyedia solusi keamanan menyeimbangkan kebutuhan seperti visibilitas dan ketahanan terhadap gangguan dengan risiko pengoperasian dalam mode kernel. Seperti misalnya, mereka dapat menggunakan sensor minimal yang berjalan dalam mode kernel untuk pengumpulan dan penerapan data, sehingga membatasi paparan terhadap masalah ketersediaan.
Sementara itu, untuk fitur lainnya, seperti pengelolaan update, penguraian konten, dan operasi lainnya, dapat dilakukan secara terpisah dalam mode pengguna.
Selain itu, Microsoft juga menjelaskan fitur keamanan bawaan OS Windows yang telah menawarkan lapisan perlindungan terhadap malware dan upaya eksploitasi di Windows. Microsoft akan bekerja sama dengan ekosistem anti-malware melalui Microsoft Virus Initiative (MVI) untuk memanfaatkan fitur keamanan bawaan Windows guna lebih meningkatkan keamanan sekaligus keandalan.
Dan berikut adalah hal yang telah direncanakan Microsoft untuk saat ini:
- Menyediakan panduan peluncuran yang aman, praktik terbaik, dan teknologi untuk membuatnya lebih aman dalam melakukan pembaruan pada produk keamanan.
- Mengurangi kebutuhan driver kernel untuk mengakses data keamanan penting.
- Menyediakan isolasi yang ditingkatkan dan kemampuan anti-perusakan dengan teknologi seperti enclave VBS yang baru-baru ini diumumkan.
- Mengaktifkan pendekatan tanpa kepercayaan seperti pengesahan integritas tinggi, yang menyediakan metode untuk menentukan status keamanan mesin berdasarkan kesehatan fitur keamanan asli Windows.
Nah semoga saja kedepannya masalah ini tidak akan terjadi lagi karena bagaimanapun ternyata efeknya sangat luas dan bahkan total kerugiannya diperkirakan mencapai senilai $5,4 miliar USD. Waw.
Komen dibawah guys dan berikan pendapatmu.