Hacker News 의견

• Microsoft는 보안 소프트웨어의 현대화를 위해 안티멀웨어 생태계와 협력할 계획임

  • 업데이트를 안전하게 수행하기 위한 지침, 모범 사례 및 기술을 제공함
  • 중요한 보안 데이터를 접근하기 위해 커널 드라이버의 필요성을 줄임
  • 사용자 모드에서 실행되는 기능을 나열하여 커널 모드에서 실행되는 항목을 줄이려 함

• CrowdStrike의 분석을 기다려야 할 것 같음

  • 보안 소프트웨어가 역사적으로 커널 모드에서 실행된 이유를 설명함
  • Microsoft는 보안 벤더들이 사용자 모드로 이동하도록 새로운 기술을 추진 중임
  • CrowdStrike는 이미 Mac과 Linux에서 사용자 모드로 실행 중임
  • Windows에서도 사용자 모드로 실행하면 블루스크린 같은 치명적 오류의 위험을 줄일 수 있음
  • Apple이 보안 벤더들을 커널 모드에서 제외한 것처럼 Windows도 그렇게 했다면 이런 문제가 발생하지 않았을 것임

• eBPF에 대한 언급이 없다는 점이 주목할 만함

  • eBPF는 Linux에서 표준이며 Windows에서도 사용 가능하지만, 아직 주요 Windows OS에 도입되지 않음
  • 정적 분석은 Blue Friday 버그를 잡을 수 있었을지 모르지만, 현재의 커널 모듈 모델보다 보호 수준을 높임

• Microsoft 자체가 CrowdStrike의 주요 경쟁자라는 점이 놀랍지 않음

• 마케팅 및 법무 부서의 검토를 거쳤을 것임

  • 사건에서 배운 점을 바탕으로 개선하는 OS/배포판을 선택하는 것이 중요함

• Microsoft만이 사용자들이 할 수 있는 일을 결정하는 대안은 더 나쁨

  • 디지털 전체주의를 옹호하는 사람들이 있음

• 디버그 과정의 흐름과 리소스 링크가 포함된 기술적 분석이 좋았음

  • 더 많은 디버그 회고가 이렇게 되었으면 좋겠음

• MS나 CrowdStrike의 발표에서 이 충돌이 어떻게 QC를 우회했는지 설명하지 않음

  • 100% 재현 가능한 충돌이 QC의 초기 단계에서 잡히지 않은 것이 이해되지 않음

• Control Flow Integrity (CFI/XFI) 연구 경험이 있음

  • 커널 모듈을 샌드박싱하는 것이 가능했음
  • 현재는 적절한 플래그로 코드를 컴파일하여 메모리 안전 오류를 완전히 배제할 수 있음
  • BSOD를 정중한 로그 메시지로 바꾸고 결함 있는 드라이버를 비활성화할 수 있음