Il y a des OS où les extensions au noyau deviennent interdites (macOS) ou n’ont jamais existé (iOS/iPadOS). Les System Extensions existent, mais elles ne s’exécutent pas avec les privilèges du noyau du tout.
Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée fournis par l’éditeur. Ce n'’est pas nouveau comme concept, les premiers micro-kernels des années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut pas corrompre le kernel space. Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) On se rend compte que le bud de CriwdStrike empêche le boot, et que donc (a priori pour le moment), la seule solution est de passer MANUELLEMENT sur chaque poste concerné ? C’est le scenario cauchemar. Donc oui, l’écriture même des OS de Microsoft est un risque. CrowdStrike s’est planté en beauté, mais MS le favorise... > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog <frnog@frnog.org> a écrit > : > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des > applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le > choix... > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si > je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est > un peu fort de café... > > > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -----Message d'origine----- >> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de >> David Ponzone >> Envoyé : vendredi 19 juillet 2024 13:30 >> À : Erwan David <er...@rail.eu.org> >> Cc : frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans >> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des >> BSOD causés par des applications. >> C’est l’action MS qui devrait baisser, pas Crowdstrike. >> >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >> inimaginable de retarder les mises à jour de la base de signatures de >> 24h ? >> >> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « >> j’ai pris MS parce qu’on pourra pas me le reprocher ». >> >> David Ponzone >> >> >> >>> Le 19 juil. 2024 à 10:40, Erwan David <er...@rail.eu.org> a écrit : >>> >>> >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>> Mais je comprends pas comment c’est possible. >>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>> >>>> David >>> Au moins les mises à jour des signatures crowdstrike... >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
