l'incidente

Cyber caos, la spiegazione di Microsoft all’incidente che ha interessato oltre 8,5 milioni di dispositivi

di |

"La possibilità per fornitori terzi, come CrowdStrike, di accedere al kernel può aumentare i rischi di sicurezza o conseguenze simili a quelli vissuti il 19 luglio scorso", spiega Microsoft.

Dopo CrowdStrike, anche Microsoft ha pubblicato sul suo blog una lunga analisi tecnica sull’incidente che il 19 luglio ha interessato oltre 8,5 milioni di dispositivi in tutto il mondo.

La lunga disamina tecnica dell’accaduto contiene dati di telemetria e alcune spiegazioni sull’arresto anomalo dei sistemi Windows che ha causato danni in molti settori e la cancellazione di oltre 7mila voli in tutti il mondo.

Microsoft: Windows è andato in blocco a causa di letture di porzione di memoria non dovute

Come spiega l’azienda, il bug dei sistemi è stato causato da un problema del file CSagent.sys sviluppato da CrowdStrike. Un errore di sicurezza della memoria provocato dal tentativo di accesso del file ad una zona al di fuori di quella normalmente allocata al particolare processo. Avendo riscontrato che un file insolito voleva “leggere” porzioni di memoria non dovute, Windows è andato in blocco, mostrando la classica schermata blu.

Microsoft sottolinea sul proprio sito dedicato alla sicurezza che questo tipo di lettura errata elude le protezioni della memoria e anche se raro è potenzialmente molto pericoloso per l’integrità del sistema.

Nella sua analisi, Microsoft solleva anche la questione del kernel. Quest’ultimo è un programma inserito nel sistema operativo, spesso con il controllo completo della macchina, nato per monitorare i processi e fornire un accesso sicuro e controllato.

La possibilità per fornitori terzi di accedere al kernel può aumentare i rischi di sicurezza

La possibilità per fornitori terzi, come CrowdStrike, di accedere al kernel può aumentare i rischi di sicurezza o conseguenze simili a quelle vissute il 19 luglio scorso, spiega. Già qualche giorno dopo l’incidente l’azienda di Redmond aveva dato la colpa all’Unione Europea e all’accordo stipulato quindici anni fa.

L’accordo stipulato nel 2009 obbliga Microsoft a garantire ai produttori di software di sicurezza lo stesso livello di accesso a Windows di cui gode l’azienda stessa. Il documento che delinea l’accordo tra Microsoft e la Commissione Europea, disponibile sul sito web dell’azienda, conferma l’obbligo di rendere disponibili le API di Windows Client e Server utilizzate dai prodotti di sicurezza Microsoft anche ai produttori di software di terze parti.

Nel documento d’accordo con la Commissione Europea si specifica che Microsoft è obbligata a rendere disponibili le proprie API (interfacce di programmazione) utilizzate nei prodotti di sicurezza anche ai produttori di software di terze parti. Mentre garantire un campo di gioco equo per i produttori di software antivirus è sicuramente un obiettivo nobile, come auspicato dall’Unione Europea, l’accesso indiscriminato alle API da parte di terzi si rivela un rischio per la sicurezza, secondo Microsoft.

Microsoft: “Saranno adottate misure per supportare un approccio Zero trust”

L’azienda, spiega infine nella lunga analisi, ha in programma di rafforzare la sicurezza dei propri prodotti implementando linee guida rigorose per gli aggiornamenti, minimizzando la superficie di attacco attraverso la riduzione dei driver del kernel necessari e massimizzando l’isolamento e la protezione da manomissioni.

Inoltre, verranno adottate misure per supportare pienamente un approccio Zero Trust. Un modello di sicurezza per il quale ogni richiesta di accesso a risorse o servizi, indipendentemente dalla sua origine, deve essere verificata e autorizzata esplicitamente prima di essere concessa.

L’incidente ha causato danni per 5,4 miliardi di dollari

Secondo le stime della compagnia di assicurazioni cyber Parametrix, il costo totale del blocco per le aziende Fortune 500 è stato di 5,4 miliardi di dollari (circa 4,95 miliardi di euro).

Parametrix ha evidenziato come i settori sanitario, bancario e delle compagnie aeree siano stati i più colpiti dall’incidente. Le maggiori perdite finanziarie dirette interesseranno il settore sanitario (1,938 miliardi di dollari), seguito dal bancario (1,149 miliardi di dollari), e infine aereo, per il quale ci si attendono perdite per circa 860 milioni di dollari.

Nonostante l’impatto significativo, le perdite totali assicurate non sembrano destinate a mettere in crisi il mercato tuttavia, l’evento potrebbe innescare un consolidamento della cosiddetta “riassicurazione” informatica, aumentando la domanda di copertura e spingendo gli assicuratori a rivalutare le proprie strategie di sottoscrizione.

Leggi le altre notizie sull’home page di Key4biz