Firma za cyber sigurnost CrowdStrike u srijedu je okrivila problem u svom sistemu za provjeru valjanosti koji je uzrokovao rušenje miliona Windows uređaja u sklopu široko rasprostranjenog prekida rada krajem prošle sedmice.
“U petak, 19. jula 2024. u 04:09 UTC, kao dio redovnih operacija, CrowdStrike je objavio ažuriranje konfiguracije sadržaja za Windows senzor kako bi prikupio telemetriju o mogućim novim tehnikama prijetnji”, rekla je kompanija u svom Preliminarnom pregledu nakon incidenta ( PIR).
“Ova ažuriranja su redovni dio dinamičkih zaštitnih mehanizama Falcon platforme. Problematična ažuriranja konfiguracije Rapid Response Content rezultirala je padom Windows sistema.”
Incident je uticao na Windows hostove koji koriste senzorsku verziju 7.11 i noviju, a koji je bio online između 19. jula 2024., 04:09 UTC i 05:27 UTC i primio ažuriranje. Apple macOS i Linux sistemi nisu pogođeni.
CrowdStrike je rekao da isporučuje ažuriranja konfiguracije sigurnosnog sadržaja na dva načina, jedan putem Sensor Content-a koji se isporučuje sa Falcon Sensorom, a drugi putem Rapid Response Content-a koji mu omogućava da označi nove prijetnje koristeći različite tehnike usklađivanja ponašanja.
Kaže se da je pad bio rezultat ažuriranja sadržaja za brzi odgovor koji sadrži prethodno neotkrivenu grešku. Vrijedi napomenuti da se takva ažuriranja isporučuju u obliku instanci predloška koji odgovaraju specifičnim ponašanjima – od kojih je svako mapirano na jedinstveni tip šablona – za omogućavanje nove telemetrije i detekcije.
Instance predložaka se, zauzvrat, kreiraju pomoću sistema za konfiguraciju sadržaja, nakon čega se postavljaju na senzor preko oblaka putem mehanizma nazvanog Channel Files, koji se na kraju zapisuje na disk na Windows mašini. Sistem takođe uključuje komponentu Content Validator koja vrši provjere valjanosti sadržaja prije nego što se objavi.
„Sadržaj brze reakcije pruža vidljivost i detekciju na senzoru bez potrebe za promjenom koda senzora“, objašnjava se.
“Ovu sposobnost koriste inženjeri za otkrivanje prijetnji da prikupe telemetriju, identifikuju indikatore ponašanja protivnika i izvedu detekcije i prevencije. Sadržaj brzog odgovora je heuristika ponašanja, odvojena i različita od CrowdStrike-ovih mogućnosti za prevenciju i detekciju AI na senzoru.”
Ove nadogradnje zatim analizira Falconov tumač sadržaja, koji zatim omogućava motoru za detekciju senzora da otkrije ili spriječi zlonamjernu aktivnost, ovisno o konfiguraciji politike korisnika.
Iako je svaki novi tip predloška testiran na stres za različite parametre kao što su korištenje resursa i utjecaj na performanse, osnovni uzrok problema, po CrowdStrikeu, mogao bi se pratiti do uvođenja tipa predloška za međuprocesnu komunikaciju (IPC) 28. februara 2024. koji je uveden u napade sa zastavom koji zloupotrebljavaju imenovane cijevi .
Vremenska linija događaja je sljedeća –
- 28. februar 2024. – CrowdStrike izdaje senzor 7.11 kupcima s novim IPC Template Type-om
- 5. marta 2024. – Tip IPC predloška prolazi stres test i validiran je za upotrebu
- 5. marta 2024. – Instanca IPC predloška puštena je u proizvodnju putem Channel File 291
- 8. – 24. aprila 2024. – Još tri instance IPC predloška su raspoređene u proizvodnju
- 19. jula 2024. – Primijenjene su dvije dodatne instance IPC predloška, od kojih jedna prolazi validaciju uprkos tome što ima problematične podatke o sadržaju
“Na osnovu testiranja obavljenog prije početne implementacije Template Type (5. marta 2024.), povjerenja u provjere izvršene u Content Validatoru i prethodnih uspješnih implementacija IPC Template Instance, ove instance su raspoređene u proizvodnju”, rekao je CrowdStrike .
“Kada ga senzor primi i učita u Content Interpreter, problematičan sadržaj u datoteci kanala 291 rezultirao je čitanjem memorije izvan granica koje je pokrenulo izuzetak. Ovaj neočekivani izuzetak nije mogao biti elegantno obrađen, što je rezultiralo padom operativnog sistema Windows ( BSoD).”
Kao odgovor na velike smetnje uzrokovane padom i sprečavanje da se ponove, kompanija sa sjedištem u Teksasu je rekla da je poboljšala svoje procese testiranja i poboljšala svoj mehanizam za rukovanje greškama u Content Interpreteru. Takođe planira implementaciju strategije postupnog postavljanja sadržaja za brzi odgovor.
Izvor:The Hacker News
