Microsoft сломает все антивирусы во имя безопасности Windows. Их лишат доступа к ядру системы

Microsoft закроет антивирусным системам доступ к ядру Windows, чтобы больше не было глобальных сбоев, подобных тому, что вызвало кривое обновление CrowdStrike летом 2024 г. Нововведение обсуждалось с представителями антивирусных компаний за закрытыми дверями. Альтернативой станет некая новая платформа в составе Windows, заточенная именно под антивирусный мониторинг.

Новые правила игры

Корпорация Microsoft решила закрыть всем без исключения антивирусным решениям доступ к ядру ОС Windows, пишет PCMag. Об этом было объявлено в рамках закрытого саммита по безопасности Windows Endpoint Security Ecosystem Summit, куда были допущены исключительно разработчики антивирусных решений.

Сам саммит был организован на фоне беспрецедентного сбоя мировых масштабов, когда миллионы компьютеров на базе Windows одновременно вышли из строя. Как сообщал CNews, это случилось в июле 2024 г., а причиной тому стало максимально кривое обновление ПО компании CrowdStrike, работающей в сфере информационной безопасности.

Возможно, из-за действий Microsoft OC Windows станет менее защищенной

«Сырой» апдейт поломал Windows на компьютерах аэропортов, банков, ж/д-перевозчиков, кафе и ресторанов по всему миру. Некоторые аэропорты вынужденно вернулись на десятки лет назад и начали выдавать билеты и посадочные талоны, написанные буквально от руки. К слову, пострадали даже некоторые системы на Linux.

Почему все так

Чтобы такого больше не повторилось, Microsoft лишит все антивирусные системы доступа к ядру своей операционной системы. Но ошибка CrowdStrike, очень больно ударившая по репутации компании, привела к настолько масштабному сбою не только потому, что у ПО был доступ к ядру Windows.

Другая причина – в популярности этой ОС. У нее пока нет действительно серьезных конкурентов – да, доля Linux-систем растет, но пока что она на уровне 4,5%, тогда как Windows занимает почти 72% мирового рынка настольных ОС (StatCounter, август 2024 г.). macOS со своими 15,5% рынка, закрытостью экосистемы и чрезмерно высокой стоимостью компьютеров Apple ей не конкурент.

Сделать систему хуже. Но не совсем

Привилегированный доступ антивирусных и защитных систем к ядру Windows – это, скорее, благо, нежели проблема, потому что именно благодаря нему резко повышается эффективность обнаружения вредоносного ПО на компьютере. Но, как показал случай с CrowdStrike, подобная вседозволенность очень легко может привести к катастрофе мировых масштабов.

Теперь, получается, Microsoft жертвует безопасностью Windows ради ее стабильности, но это, на самом деле, лишь на первый взгляд. Поначалу корпорация действительно планировала раз и навсегда отлучить антивирусы от ядра ОС и полностью закрыть его, что в итоге превратило бы Windows в аналог macOS. Но в рамках саммита было выработано другое решение, хотя как именно оно будет реализовано, пока не совсем кристально ясно.

Как пишет PCMag, участники саммита обсудили с Microsoft разработку некой новой платформы, которая будет предназначена для антивирусного мониторинга. Пока нет данных, как она будет выглядеть в итоге. Не исключено, что это будет очередная подсистема в Windows – в ее составе с 2019 г. есть подсистема для Linux, и раньше была подсистема для Android, но Microsoft решила уничтожить ее.

С миру по нитке

В разработке платформы Microsoft будут помогать ИБ-компании, но пока нет информации, какие именно, и в чем конкретно будет заключаться их вклад. В своем блоге Microsoft сообщила, что ее клиенты партнеры призвали ее «предоставить дополнительные возможности безопасности за пределами ядра», которые антивирусное программное обеспечение также может использовать для обеспечения защиты.

«На саммите Microsoft и партнеры обсудили требования и основные проблемы при создании новой платформы, которая может удовлетворить потребности поставщиков безопасности», – написала Microsoft. Участники саммита, по ее словам, обсуждали «потребности и проблемы производительности за пределами ядра», предоставление механизма защиты от несанкционированного доступа для программ безопасности и «требования к сенсорам безопасности» для антивирусного мониторинга.

Не отбирайте у нас ядро

Доподлинно известно, что среди участников саммита была сбежавшая из России в марте 2022 г. ИБ-компания Eset. В своем блоге Microsoft отметила, что ее представители просили все же оставить доступ к ядру, хотя бы опциональный. 

«По-прежнему крайне важно, чтобы доступ к ядру оставался опцией для использования продуктами кибербезопасности, чтобы обеспечить непрерывные инновации и возможность обнаруживать и блокировать будущие киберугрозы», – сказал во время саммита представитель Eset. Пока неясно, удовлетворит ли Microsoft просьбу этой компании.