Nach CrowdStrikes Update-Gau

Microsoft will Windows-Kernel abschotten

Nach dem CrowdStrike-Vorfall will Microsoft seinen Windows-Kernel härten und den Zugriff externer Anwendungen einschränken.
Programme die mit dem Kernel interagieren stehen auf dem Prüfstand.
Programme die mit dem Kernel interagieren stehen auf dem Prüfstand.
Foto: ID1974 - shutterstock.com

Microsoft hat angedeutet, dass der Zugriff auf die Kernel-Ebene seiner Windows-Betriebssysteme für externe Softwareanwendungen eingeschränkt werden könnte. Hintergrund ist der CrowdStrike-Vorfall, der weltweit mehr als 8,5 Millionen Windows-PCs betraf und tausende Nutzer hilflos mit einem "Blue Screen of Death" zurückließ. Dies veranlasste die Microsoft-Verantwortlichen offenbar, die Widerstandsfähigkeit ihres Betriebssystems zu überdenken.

Sicherheit nach dem Debakel

Der weltgrößte Softwarehersteller will sich nun darauf konzentrieren, den Zugriff von Softwareanwendungen auf die Kernel-Ebene zu reduzieren. Ziel ist es, damit die allgemeine Sicherheit und Widerstandsfähigkeit des Betriebssystems Windows zu verbessern. Dies ist Teil der Bemühungen Microsofts, die eigene Sicherheitsarchitektur nach dem CrowdStrike-Vorfall widerstandsfähiger und robuster zu machen.

"Dieser Vorfall zeigt deutlich, dass wir bei Windows Veränderungen und Innovationen im Bereich der End-to-End-Resilienz Priorität vornehmen müssen muss", schrieb John Cable, Vice President of Program Management for Windows Servicing and Delivery, in einem Blogbeitrag.

Mit Zero-Trust zu mehr Sicherheit

Cable verwies unter anderem auf die kürzlich angekündigten VBS-Enklaven. Diese würden eine isolierte Rechenumgebung bieten, die keine manipulationssicheren Kernel-Mode-Treiber erforderten. Darüber hinaus könne der Microsoft Azure Attestation Service dabei helfen, den Sicherheitsstatus des Bootpfads zu bestimmen.

Diese Technologien sollen isolierte Rechenumgebungen zur Verfügung stellen. Außerdem sollen sie dabei helfen, die Sicherheit von Boot-Pfaden zu bestimmen, ohne dass Kernel-Mode-Treiber benötigt werden. Dieser moderne Zero-Trust-Ansatz minimiert Sicherheitsrisiken, indem er die Angriffsfläche für potenzielle Bedrohungen verringert.

CrowdStrike hat in seinem vorläufigen Post Incident Review einen Fehler in seiner Testsoftware identifiziert, der im Kernel des Betriebssystems liegt.

Kernel als Schwachstelle und Lösung

Der Zugriff auf den Kernel ist eine kritische Schwachstelle, da er tiefgreifende Interaktionen auf Systemebene ermöglicht. Wird er kompromittiert, kann dies zu weitreichenden Störungen und Sicherheitsverletzungen führen. Durch die Beschränkung des Zugriffs auf den Kernel will Microsoft das Potenzial für solche Schwachstellen verringern.

Isolierte Umgebungen und Zertifizierungsdienste sollen dafür sorgen, dass das Kernsystem auch dann sicher bleibt, wenn eine Anwendung oder ein Dienst kompromittiert wird. Dadurch soll die Widerstandsfähigkeit insgesamt deutlich erhöht werden.

Erneuter Versuch der Zugangsbeschränkung

Microsoft versucht diesen Ansatz nicht zum ersten Mal. Bereits 2006 hatte das Unternehmen mit dem Betriebssystem Vista getestet, den Zugang zum Kernel für Sicherheitsanbieter einzuschränken. Damals musste dieser Schritt jedoch wieder rückgängig gemacht werden.

Symantec und McAfee hatten daraufhin behauptet, dass Microsofts Entscheidung, den Zugang zum Kernel zu blockieren, einem "wettbewerbswidrigen Verhalten" gleichkomme.

Reaktion auf den Gau

Der CrowdStrike-Vorfall mit seinen katastrophalen Folgen scheint Microsoft dennoch dazu bewogen zu haben, das Thema wieder aufzugreifen.

"Wir werden diese Fähigkeiten weiterentwickeln, unsere Plattform härten und noch mehr tun, um die Widerstandsfähigkeit des Windows-Ökosystems zu verbessern. Dabei werden wir offen und kooperativ mit den Security-Anbietern zusammenarbeiten", schreibt Cable in seinem Blog.

Zur Startseite