Cuando ha pasado casi un año de la catástrofe provocada por una actualización de CrowdStrike que dejó fuera de combate a más de 8,5 millones de ordenadores y sistemas con Windows en todo el mundo, Microsoft quiere asegurarse de que no se vuelve a dar una situación ni remotamente parecida.
Por eso, después de una reunión con proveedores de seguridad el año pasado, los de Redmond están ultimando el desarrollo de una actualización de Windows, que pronto se lanzará en fase de prueba privada, con cambios que sacarían a las aplicaciones de antivirus y EDR (endpoint detection and response) fuera del kernel de Windows.
Esta nueva plataforma de seguridad para endpoint de Windows, según The Verge, está desarrollada en colaboración diversos proveedores de herramientas de seguridad, entre los que se encuentra CrowdStrike.
Eso sí, la compañía ha recalcado que esto no implica que desde Microsoft vayan a poner unas normas que espera que todos sigan de inmediato, sino que es más bien un proceso en el que todos los interesados desarrollen las normas de manera conjunta, y que, según David Weston, Vicepresidente de Empresa y seguridad de sistema operativo en Microsoft, la compañía no está «para decirles a los demás cómo debería funcionar la API, sino que estamos para escuchar y ofrecer seguridad y fiabilidad«.
Durante décadas, Microsoft ha desarrollado Windows de manera que ha permitido a los desarrolladores crear software de seguridad integrado a nivel profundo en el sistema operativa, ejecutándose a nivel de kernel en Windows. Por eso el fallo en la actualización de CrowdStrike causó un problema tan grave, y puso de manifiesto lo fácil que es que cuando un driver a nivel de kernel tenga un problema deje fuera de combate un ordenador.
La compañía ha puesto a trabajar en la solución y en los cambios de seguridad para conseguirla a varios de sus ingenieros con más conocimientos. Entre otros, a algunos de los arquitectos del kernel de Windows, y también a gente que no trabaja habitualmente en el sector de la seguridad, sino en el de los sistemas operativos.
La versión de prueba privada dará a los proveedores de seguridad la oportunidad de pedir cambios. Weston espera que haya varias versiones todavía hasta que esté lista para que los proveedores estén en línea para hacer sus cambios. Además, reconoce que no va a solucionar todos los problemas con los drivers a nivel de kernel. Weston destaca que su objetivo «es empezar con AV y EDR, pero habrá probablemente drivers del kernel durante un tiempo, mientras avanzamos para trabajar con los siguientes casos de uso«.
Va a llevar todavía un tiempo tanto a Microsoft como a los proveedores de seguridad algún tiempo adaptarse a estos cambios de Windows, aunque Microsoft confía en que por parte de sus clientes el nuevo sistema conseguirá una gran adopción y aceptación, ya que los clientes llevan pidiendo cambios en el sistema desde el incidente de CrowdStrike.
Además, Microsoft lanzará a finales de este verano una actualización de Windows que incluirá una nueva función de recuperación rápida del sistema, diseñada para restaurar máquinas que no se puedan iniciar con rapidez. Hace que un dispositivo entre en el modo de Entorno de recuperación de Windows, donde el sistema puede acceder a la red y ofrecer a Microsoft información sobre diagnóstico. Según Weston, es les hubiese gustado tener para el incidente del año pasado.
