A quasi un anno dall’incidente causato da un aggiornamento fallato di CrowdStrike, capace di paralizzare oltre 8 milioni di dispositivi Windows nel mondo, Microsoft introduce una delle modifiche più incisive degli ultimi anni. Si tratta della decisione di escludere completamente le applicazioni di sicurezza dal kernel del sistema operativo, una scelta che nasce dalla volontà di prevenire eventi simili e aumentare la resilienza dell’intero ecosistema.
Questa mossa confermata in un’intervista a The Verge da David Weston (Corporate Vice President enterprise & OS Security di Microsoft), si inserisce nella nuova strategia denominata Windows Resiliency Initiative. La decisione è stata sviluppata in collaborazione con CrowdStrike, Bitdefender, ESET, Trend Micro e altre aziende del settore.
L’obiettivo è spostare antivirus, EDR e persino gli anti-cheat (usate nel gaming) in “user mode”, rimuovendo l’accesso diretto alle funzioni critiche del sistema operativo a livello Kernel. L’impatto sarà rilevante per i produttori di software; ma anche per il mondo del gaming competitivo e per la sicurezza informatica aziendale.
Kernel blindato: fine della sicurezza a basso livello
Per decenni, l’accesso al kernel è stato considerato essenziale per garantire un alto livello di efficacia nei software di sicurezza; questo privilegio consentiva il monitoraggio profondo del sistema. Gli antivirus potevano osservare processi in tempo reale, bloccare exploit, intercettare malware prima ancora che potessero interagire con lo spazio utente; una protezione a livello di root del sistema operativo. Tuttavia, questa stessa profondità si è dimostrata un’arma a doppio taglio. Un errore in un componente con accesso kernel può causare conseguenze devastanti; l’intero sistema operativo potrebbe arrestarsi o diventare instabile in pochi istanti.
L’incidente CrowdStrike del 2024 ha evidenziato questo rischio in modo inequivocabile; 8 milioni di dispositivi Windows si sono bloccati a causa di un aggiornamento errato distribuito da un software di sicurezza CrowdStrike. Da questo evento nasce la decisione strategica di Microsoft di revocare l’accesso diretto al kernel alle applicazioni di terze parti. L’azienda introduce una nuova piattaforma di sicurezza; essa permetterà agli sviluppatori di costruire soluzioni che operano interamente in user mode, utilizzando API ufficiali documentate e supervisionate. Questo approccio elimina la necessità di scrivere driver kernel, riducendo il rischio di crash e rendendo il sistema più resiliente.
La transizione rappresenta quindi un nuovo modo di concepire la sicurezza su Windows. Questo modello promette una gestione più snella e affidabile, anche in ambienti complessi come quelli aziendali o istituzionali.
Kernel: un approccio collaborativo
Contrariamente a quanto accaduto in passato, Microsoft non ha imposto unilateralmente la nuova architettura. L’azienda ha coinvolto attivamente i principali attori della sicurezza informatica, raccogliendo feedback, richieste e specifiche tecniche. Diverse aziende hanno fornito documenti di centinaia di pagine per contribuire alla definizione delle nuove API e dei metodi di accesso alternativi.
David Weston ha sottolineato che si tratta di un modello aperto e flessibile, pensato per essere adottato da tutto il settore. I primi partner del Microsoft Virus Initiative (MVI) riceveranno in anteprima, a luglio 2025, l’accesso alla piattaforma per iniziare i test. Questo favorirà una transizione graduale e ben pianificata, minimizzando i problemi di compatibilità e massimizzando la stabilità.
Gaming, anti-cheat e Linux
Il cambiamento non riguarda esclusivamente la sicurezza tradizionale; coinvolge anche il settore del gaming competitivo. I software anti-cheat, impiegati per contrastare imbrogli nei giochi online, si affidano storicamente al kernel di Windows per monitorare profondamente il comportamento del sistema. Questa prassi, tuttavia, ha sollevato negli anni numerosi dubbi; tra questi spiccano le preoccupazioni relative alla stabilità del sistema operativo e alla privacy degli utenti. L’obbligo di migrare fuori dallo spazio kernel costringerà i produttori a ripensare radicalmente le tecnologie anti-cheat. Dovranno ideare nuove soluzioni, basate su architetture meno intrusive ma comunque efficaci.
In linea teorica, questa transizione potrebbe migliorare la compatibilità dei giochi Windows su Linux; eliminando l’accesso al kernel, verrebbe rimossa una delle principali barriere all’impiego di ambienti come Proton o Wine. Tuttavia, le nuove API che Microsoft introdurrà saranno probabilmente legate a meccanismi avanzati di attestation hardware, Secure Boot e validazione crittografica; per questo motivo, sarà molto difficile riprodurle fedelmente su piattaforme non Windows. Per chi gioca su Linux, quindi, non potrebbe esserci un vantaggio automatico e immediato.
Kernel: un sistema più stabile ma anche più centralizzato
La scelta di Microsoft punta a rendere Windows più stabile, resiliente e facile da ripristinare in caso di errori. L’adozione del modello in user mode riduce drasticamente i rischi associati all’esecuzione di codice non controllato nel kernel. Tuttavia, questa evoluzione comporta anche una maggiore centralizzazione del controllo: saranno le API Microsoft a determinare cosa sia lecito fare in ambito sicurezza.
Nonostante ciò, la risposta dell’industria sembra essere positiva: il coinvolgimento attivo delle aziende di sicurezza indica che la transizione sta avvenendo in un clima costruttivo. Il vero banco di prova sarà la fase pubblica della piattaforma, prevista entro la fine del 2025.
