A Microsoft fará uma mudança significativa na forma como os softwares de antivírus e de detecção e resposta de endpoint (EDR) interagem com o Windows. Resumidamente, a empresa está removendo esses aplicativos do kernel do Windows.
O kernel tem acesso irrestrito à memória do sistema e ao hardware. Por décadas, softwares de antivírus e EDR operaram dentro dele, dando-lhes um poder imenso para proteger o sistema. Mas essa proximidade torna-os um ponto crítico para falhas, derrubando todo o sistema.
A principal motivação para essa mudança foi um incidente da empresa de segurança CrowdStrike que derrubou mais de 8,5 milhões de máquinas em todo o mundo. Esse evento destacou os riscos de permitir que softwares de segurança operem com tanto acesso no kernel. A Microsoft quer reduzir esses riscos, isolando esses aplicativos.
Ela desenvolve uma nova plataforma de segurança que irá isolar os aplicativos de antivírus e EDR, tendo menos chances de causar problemas graves no sistema, iniciativa conjunta com CrowdStrike, Bitdefender, ESET e Trend Micro. A Microsoft solicitou informação sobre como gostariam que as novas estruturas e APIs funcionassem, garantindo que a solução atenda às suas necessidades.
As mudanças serão lançadas gradualmente, começando com um “private preview” para as empresas de segurança testarem e solicitarem ajustes antes da implementação final. Antivírus e soluções EDR serão os primeiros a serem afetados, e outras aplicações, como softwares anti-cheat seguirão mais tarde.