Microsoft riscrive la sicurezza di Windows: addio antivirus nel kernel dopo il disastro CrowdStrike

A quasi un anno dall’incidente che ha messo in ginocchio oltre 8,5 milioni di sistemi Windows in tutto il mondo a causa di un aggiornamento errato applicato da CrowdStrike su un suo software di sicurezza, Microsoft annuncia un’iniziativa strategica per prevenire ulteriori eventi di simile portata. Il colosso di Redmond sta lavorando a una nuova architettura per la sicurezza, destinata a sradicare dal kernel del sistema operativo il codice di qualunque soluzione antivirus, antimalware ed EDR (Endpoint Detection and Response).

Nasce una nuova piattaforma di sicurezza condivisa con i vendor

Già a settembre 2024, Microsoft aveva annunciato l’intenzione di estromettere tutte le soluzioni di sicurezza dall’accesso al kernel di Windows. Oltre ai commenti positivi, la società di Redmond ha dovuto incassare anche molte critiche: ad esempio, Matthew Prince, CEO di Cloudflare, dichiarava: “un mondo in cui solo Microsoft può fornire una sicurezza efficace per gli endpoint non è un mondo sicuro“. La ratio è che se un software di sicurezza non può più accedere al kernel di Windows, gioca con armi spuntate non riuscendo a rilevare che cosa avviene sul sistema a basso livello.

A differenza del passato, oggi Microsoft non agisce da sola: l’azienda ha coinvolto i principali attori del settore cybersecurity — tra cui CrowdStrike, Bitdefender, ESET e Trend Micro — per co-progettare un nuovo modello. Il progetto, al momento in fase di anteprima privata, nasce da una vera e propria consultazione tecnica: molti fornitori hanno consegnato a Microsoft documentazione tecnica dettagliata — in alcuni casi centinaia di pagine — sulle loro esigenze e proposte per una nuova API di sicurezza.

David Weston, vice president of enterprise and OS security in Microsoft, sottolinea che si tratta di un approccio collaborativo: “non siamo qui per dettare le regole, ma per ascoltare. Il nostro obiettivo è garantire sicurezza e affidabilità, costruendo insieme una piattaforma sicura e flessibile“.

Kernel sotto osservazione: la lezione CrowdStrike

Storicamente, le soluzioni di sicurezza su Windows si sono integrate a livello kernel, con privilegi massimi che consentono accesso illimitato alla memoria di sistema e all’hardware. Questo approccio garantiva prestazioni e profondità d’analisi, ma il rischio era sempre dietro l’angolo: un errore in un driver kernel può bloccare completamente il sistema, come accaduto con il BSoD (Blue Screen of Death) causato da CrowdStrike nel 2024.

Microsoft ha preso atto della fragilità di questo modello. Ora, un team di sviluppatori di élite — inclusi architetti del kernel di Windows e ingegneri normalmente esterni all’ambito sicurezza — sta lavorando a una piattaforma che permetta di isolare antivirus ed EDR dallo spazio kernel, riducendo così il potenziale di danno in caso di malfunzionamento.

Verso una transizione graduale: preview riservata e feedback dei partner

La transizione verso il nuovo modello sarà progressiva. Un’anteprima privata permetterà ai vendor di testare l’integrazione e proporre modifiche prima del rilascio pubblico. La nuova piattaforma si concentrerà inizialmente su antivirus ed EDR, ma non escluderà completamente l’uso di driver kernel nel breve periodo.

Un settore particolarmente complesso è quello videoludico. Gli anti-cheat, per contrastare software installati intenzionalmente dagli utenti per “barare” durante le partite, fanno largo uso del kernel. Microsoft ha avviato un dialogo anche con gli sviluppatori di videogiochi — inclusi nomi come Riot Games — per ridurre questa dipendenza. “Molti sviluppatori vorrebbero evitare di dover gestire codice kernel”, afferma Weston. “Stiamo discutendo con loro i requisiti tecnici per farlo in modo sicuro”.

Quick Machine Recovery: il sistema di recupero che sarebbe servito nel 2024

Entro l’estate, Microsoft introdurrà ufficialmente la funzione Quick Machine Recovery, che abbiamo già avuto modo di analizzare nel dettaglio.

In caso di mancato avvio del sistema, il dispositivo entrerà automaticamente nella modalità di ripristino (Windows Recovery Environment): da qui potrà collegarsi alla rete e inviare informazioni diagnostiche a Microsoft. Una funzione chiave per recuperare velocemente il funzionamento dei sistemi “in panne”.

Weston descrive Quick Machine Recovery come “lo strumento che avremmo voluto avere l’anno scorso“, in grado di ridurre sensibilmente i tempi di inattività in caso di blocchi critici.