Microsoft đã phải làm việc chặt chẽ với Crowdstrike để khắc phục sự cố toàn cầu liên quan đến bản cập nhật phần mềm bảo mật Falcon, điều này đã dẫn đến khoảng 8.5 triệu máy tính và máy chủ chạy HĐH Windows trên toàn thế giới gặp tình trạng lỗi màn hình xanh, đặc biệt là ở những hệ thống quan trọng trong các lĩnh vực như hàng không và y tế.
Trong quá trình giải quyết vấn đề này, Microsoft cũng cần phải xem xét lại hướng đi tương lai của Windows. Nền tảng này luôn phải thay đổi và nâng cấp để đảm bảo hoạt động ổn định trước những sự cố tương tự có thể xảy ra trong tương lai, đặc biệt khi các bên thứ ba gặp sự cố trong quá trình cập nhật phần mềm cho cá nhân và doanh nghiệp.
Một điều chắc chắn là sự cố liên quan đến Crowdstrike Falcon đã gây ra nhiều chỉ trích và phản hồi tiêu cực đối với Microsoft từ phía truyền thông, chỉ vì một bản cập nhật phần mềm bảo mật của bên thứ ba.
Khi sự cố xảy ra, Microsoft đã chỉ trích một phần do thỏa thuận mà họ ký kết cách đây 15 năm với chính quyền Liên minh châu Âu. Cụ thể, thỏa thuận này yêu cầu nhà phát triển hệ điều hành Windows phải cho phép truy cập đầy đủ vào cấp độ số 0 của kernel. Do đó, Microsoft không thể ngăn cản bất kỳ nhà phát triển ứng dụng nào trên toàn cầu truy cập vào kernel level 0, với yêu cầu cụ thể rằng “các nhà phát triển phải được cung cấp khả năng truy cập công bằng vào hệ điều hành Windows như Microsoft.”
Điều này có nghĩa là, khi thỏa thuận giữa Microsoft và Liên minh châu Âu còn hiệu lực, nguy cơ xảy ra những sự cố giống như bản cập nhật từ Crowdstrike giữa tháng 7 vừa qua vẫn sẽ tồn tại, và hậu quả có thể rất nghiêm trọng.
Vì vậy, mặc dù đã có các thỏa thuận với các nhà quản lý để duy trì cạnh tranh công bằng, không loại trừ khả năng trong tương lai, Microsoft có thể sẽ hạn chế khả năng truy cập và thực thi ứng dụng ở các tầng kernel sâu nhất của hệ điều hành Windows, nơi các ứng dụng có thể theo dõi hoàn toàn hệ thống và từng tác vụ vận hành trên phần cứng máy tính.
Trong một bài viết gần đây trên blog, phó chủ tịch John Cable của Microsoft đã nhấn mạnh rằng “hệ sinh thái Windows là một nền tảng điện toán mở phổ biến.” Tuy nhiên, sự cố với Crowdstrike cũng đã chỉ ra tầm quan trọng tối cao của việc duy trì sự ổn định hệ thống trong các cấu hình PC hay máy chủ của doanh nghiệp. Ông Cable cũng cho biết: “Windows sẽ phải tập trung vào việc cải tiến và đổi mới trong các khía cạnh nhằm đảm bảo sự bền vững trong hoạt động của các hệ thống thiết bị đầu cuối.”
Nói một cách khác, Microsoft sẵn sàng điều chỉnh Windows để tăng cường tính bảo mật.
Quay trở lại nguyên nhân khiến hàng triệu hệ thống máy tính, bao gồm cả các hệ thống quan trọng trong ngành hàng không và y tế, gặp lỗi màn hình xanh vào tháng 7 vừa qua, bản cập nhật gặp sự cố đó thuộc về phần mềm Falcon Sensor, một ứng dụng quét toàn bộ hệ thống ở tầng kernel sâu nhất của Windows để phát hiện mã độc và phần mềm độc hại chạy ẩn. Phần mềm này, với kernel driver hoạt động tại tầng đó, nếu gặp sự cố (mà thực tế đã xảy ra), có thể làm vô hiệu hóa Windows, khiến máy tính không thể sử dụng, bất chấp nỗ lực của Microsoft nhằm ngăn chặn tình trạng này.
Trong số các sáng kiến bảo mật mà Microsoft đang muốn áp dụng vào Windows để nâng cao bảo mật và độ bền bỉ của hệ thống trước các driver hư hỏng từ các ứng dụng bên thứ ba, có một tính năng gọi là VBS enclave, sử dụng ảo hóa Windows và Hyper-V để cách ly các ứng dụng hoặc tác vụ cụ thể trong một vùng bộ nhớ giới hạn và được bảo vệ.
Ngoài ra, dịch vụ Microsoft Azure Attestation cũng sẽ được tích hợp với tính năng VBS enclave để hỗ trợ xác thực mức độ tin cậy của hệ thống cũng như trạng thái nguyên trạng của các tập tin nhị phân.
Người đọc có cảm thấy hơi phức tạp không? Microsoft đã chọn từ ngữ một cách rất cẩn thận. Nhưng hiểu đơn giản thì Microsoft đang tìm cách hạn chế khả năng truy cập kernel của hệ điều hành Windows từ các phần mềm bảo mật phát triển bởi bên thứ ba, tương tự như cách Apple đang thực hiện với macOS.
Cách tiếp cận của hai tính năng VBS enclave và Microsoft Azure Attestation có thể được hiểu là “zero trust”, tức là ngoài các ứng dụng do Microsoft phát triển và phân phối, họ không tin tưởng bất kỳ phần mềm nào khác của bên thứ ba. Hai tính năng này không yêu cầu khả năng truy cập vào kernel của hệ điều hành để nâng cao tính bảo mật của Windows. Microsoft sẽ tiếp tục phát triển các tính năng tương tự trong tương lai.
Bên cạnh những tính năng hạn chế khả năng can thiệp vào kernel của các phần mềm bên thứ ba, Microsoft sẽ cung cấp thêm hướng dẫn và giải pháp để các tổ chức và doanh nghiệp có thể áp dụng nhằm cải thiện độ bền bỉ trong hoạt động của hệ thống, từ đó tránh được những sự cố tương tự như những gì xảy ra với các đơn vị áp dụng Crowdstrike Falcon.
Một số giải pháp trong số đó bao gồm việc xây dựng kế hoạch hoạt động và kế hoạch phản ứng chi tiết trước sự cố, đồng thời thường xuyên sao lưu dữ liệu quan trọng và đảm bảo khả năng phục hồi các hệ thống máy tính gặp sự cố trong thời gian ngắn nhất.
Theo Techspot