Microsoft desarrolla nuevas funciones de seguridad en Windows para evitar un incidente similar al de CrowdStrike.

Microsoft ha revelado su intención de implementar modificaciones en Windows con el propósito de facilitar que empresas de seguridad, como CrowdStrike, operen fuera del núcleo del sistema. Esta decisión fue anunciada tras una cumbre de seguridad organizada por Microsoft en su sede de Redmond, Washington, en la que se abordaron las consecuencias del grave incidente que afectó a CrowdStrike en julio, el cual dejó fuera de servicio a 8.5 millones de PCs y servidores con Windows.

El acceso al núcleo de Windows ha sido un tema polémico desde el incidente de CrowdStrike, dado que el software de la empresa opera a este nivel, permitiendo un acceso ilimitado a la memoria del sistema y al hardware. Este acceso fue el responsable de que una actualización defectuosa causara una pantalla azul de error al iniciar los sistemas afectados.

Desde el incidente, Microsoft ha defendido la necesidad de mejorar la resiliencia de Windows, sugiriendo que los proveedores de seguridad deberían operar fuera del núcleo del sistema para evitar que situaciones similares se repitan. Sin embargo, ha habido presión tanto de socios como de reguladores para que Microsoft no realice estos cambios de manera unilateral.

Recientemente, la compañía afirmó que ha dialogado con socios como CrowdStrike, Broadcom, Sophos y Trend Micro sobre los requisitos y desafíos clave para crear una nueva plataforma que satisfaga las necesidades de estos proveedores de seguridad. David Weston, vicepresidente de seguridad empresarial y del sistema operativo, destacó que tanto los clientes como los socios del ecosistema han solicitado a Microsoft que ofrezca capacidades de seguridad adicionales fuera del modo de núcleo.

Se han discutido las necesidades de rendimiento y los retos que enfrentan los proveedores de seguridad al operar fuera del núcleo, así como la importancia de proteger los productos de seguridad contra manipulaciones. Weston mencionó que el siguiente paso será continuar diseñando y desarrollando esta nueva plataforma con la colaboración de los socios del ecosistema, en un esfuerzo por mejorar la fiabilidad sin comprometer la seguridad.

Si bien Microsoft no ha confirmado que cerrará el acceso al núcleo de Windows, se encuentra en las etapas iniciales de diseño de una plataforma de seguridad que podría eventualmente alejar a CrowdStrike y a otros de dicho núcleo. En el pasado, Microsoft intentó restringir el acceso al núcleo en Windows Vista en 2006, pero se enfrentó a la resistencia de proveedores de ciberseguridad y reguladores.

Sin embargo, los proveedores de seguridad parecen estar más receptivos a esta idea esta vez. Joe Levy, CEO de Sophos, señaló que fue una buena oportunidad para discutir mejoras que beneficien a los clientes, mientras que Kevin Simzer, COO de Trend Micro, aplaudió la apertura de Microsoft a colaborar con líderes en seguridad. CrowdStrike también expresó su aprecio por la iniciativa de diálogo con Microsoft y otros actores de la industria sobre cómo construir un ecosistema de seguridad en Windows más robusto.

A pesar del consenso entre algunos en la industria de la seguridad, no todos están satisfechos con los posibles cambios de Microsoft. Matthew Prince, CEO de Cloudflare, advirtió que es esencial que los reguladores estén atentos, ya que una situación donde solo Microsoft pueda ofrecer seguridad efectiva en los endpoints no contribuye a un entorno más seguro. Prince expresó su preocupación de que la empresa pueda restringir el acceso al núcleo para otros proveedores, mientras su propia solución seguiría teniendo privilegios.

La cumbre se realiza en el contexto de una amplificación de las reformas en ciberseguridad dentro de Microsoft, después de años de incidentes y críticas. Actualmente, los empleados de Microsoft están siendo evaluados directamente en función de su trabajo en seguridad, integrando estas métricas en las evaluaciones de desempeño.

• Microsoft
• Ciberseguridad
• CrowdStrike