Microsoft parece estar iniciando la conversación sobre la posibilidad de mover a los proveedores de seguridad fuera del núcleo de Windows.
Microsoft sigue ayudando a CrowdStrike a limpiar el desorden que comenzó hace una semana, cuando 8.5 millones de PCs se desconectaron debido a una actualización defectuosa de CrowdStrike. Ahora, el gigante del software está pidiendo cambios en Windows y ha dado algunas pistas sutiles de que está priorizando hacer que Windows sea más resistente y está dispuesto a evitar que proveedores de seguridad como CrowdStrike accedan al núcleo de Windows.
Mientras CrowdStrike ha culpado a un error en su software de pruebas por su actualización fallida, su software opera a nivel de núcleo — la parte central de un sistema operativo que tiene acceso irrestricto a la memoria del sistema y al hardware. Esto significa que si algo sale mal con la aplicación de CrowdStrike, puede causar la caída de las máquinas Windows con una Pantalla Azul de la Muerte.
El software Falcon de CrowdStrike utiliza un controlador especial que le permite operar a un nivel más bajo que la mayoría de las aplicaciones, para poder detectar amenazas en todo el sistema Windows. Microsoft intentó restringir el acceso de terceros al núcleo en Windows Vista en 2006, pero se encontró con resistencia por parte de los proveedores de ciberseguridad y los reguladores de la UE. Sin embargo, Apple pudo bloquear su sistema operativo macOS en 2020 para que los desarrolladores ya no pudieran acceder al núcleo.
Ahora, parece que Microsoft quiere reabrir las conversaciones sobre la restricción del acceso a nivel de núcleo dentro de Windows.
“Este incidente demuestra claramente que Windows debe priorizar el cambio y la innovación en el área de resiliencia de extremo a extremo”, dice John Cable, vicepresidente de gestión de programas para el servicio y entrega de Windows, en una publicación de blog titulada “Resiliencia en Windows: Mejores prácticas y el camino a seguir”. Cable llama a una cooperación más cercana entre Microsoft y sus socios “que también se preocupan profundamente por la seguridad del ecosistema de Windows” para hacer mejoras en la seguridad.
Aunque Microsoft no detalla las mejoras exactas que hará a Windows a raíz de los problemas con CrowdStrike, Cable deja algunas pistas sobre la dirección que Microsoft quiere tomar. Cable menciona una nueva característica de enclaves VBS “que no requiere controladores en modo núcleo para ser resistente a manipulaciones” y el servicio Azure Attestation de Microsoft como ejemplos de innovaciones recientes en seguridad.
“Estos ejemplos utilizan enfoques modernos de Zero Trust y muestran lo que se puede hacer para fomentar prácticas de desarrollo que no dependan del acceso al núcleo”, dice Cable. “Seguiremos desarrollando estas capacidades, reforzando nuestra plataforma y haciendo aún más para mejorar la resiliencia del ecosistema de Windows, trabajando de manera abierta y colaborativa con la amplia comunidad de seguridad”.
Estas pistas podrían iniciar una conversación sobre el acceso al núcleo de Windows, incluso si Microsoft afirma que no puede bloquear su sistema operativo de la misma manera que Apple debido a los reguladores. El CEO de Cloudflare, Matthew Prince, ya ha advertido sobre los efectos de que Microsoft cierre Windows aún más, por lo que Microsoft deberá considerar cuidadosamente las necesidades de los proveedores de seguridad si quiere perseguir un cambio real.
