Kompanija za cyber sigurnost CrowdStrike objavila je svoju analizu osnovnog uzroka s detaljima pada softverskog ažuriranja Falcon Sensora koji je osakatio milione Windows uređaja širom svijeta.
Incident “Datoteka kanala 291”, kao što je prvobitno naglašen u njegovom Preliminarnom pregledu nakon incidenta (PIR), je praćen do problema sa provjerom valjanosti sadržaja koji je nastao nakon što je uveden novi tip predloška kako bi se omogućila vidljivost i otkrivanje novih tehnika napada koje zloupotrebljavaju imenovane cijevi i druge mehanizme Windows međuprocesne komunikacije (IPC).
Konkretno, to je povezano s problematičnim ažuriranjem sadržaja raspoređenim preko oblaka, pri čemu ga kompanija opisuje kao “spoj” nekoliko nedostataka koji su doveli do pada – najistaknutiji od njih je neusklađenost između 21 unosa proslijeđenog u Content Validator preko IPC Template Type za razliku od 20 koji se isporučuju Content Interpreteru.
CrowdStrike je rekao da neusklađenost parametara nije otkrivena tokom “više slojeva” procesa testiranja, dijelom zbog korištenja kriterija podudaranja džokera za 21. unos tokom testiranja i u početnim instancama IPC predložaka koji su isporučeni između marta i aprila 2024.
Drugim riječima, nova verzija Channel File 291 objavljena 19. jula 2024. bila je prva instanca IPC predloška koja je koristila 21. polje ulaznog parametra. Nedostatak specifičnog test slučaja za kriterije podudaranja bez zamjenskih znakova u 21. polju značio je da ovo nije bilo označeno sve dok sadržaj brzog odgovora nije bio isporučen senzorima.
“Senzori koji su primili novu verziju Channel File 291 sa problematičnim sadržajem bili su izloženi latentnom problemu čitanja izvan granica u Content Interpreteru”, rekli su iz kompanije.
“Prilikom sljedećeg obavještenja o IPC-u od operativnog sistema, procijenjene su nove instance IPC predloška, specificirajući poređenje sa 21. ulaznom vrijednošću. Content Interpreter je očekivao samo 20 vrijednosti. Stoga je pokušaj pristupa 21. vrijednosti proizveo van -ograničava čitanje memorije izvan kraja niza ulaznih podataka i rezultiralo je padom sistema.”
Osim što je potvrdio broj polja za unos u Template Type u vrijeme kompajliranja senzora kako bi se riješio problem, CrowdStrike je rekao da je takođe dodao provjere ograničenja niza unosa u vrijeme izvođenja u Content Interpreter kako bi spriječio čitanje memorije izvan granica i ispravio broj datih ulaza prema tipu IPC predloška.
“Dodana provjera granica sprječava Content Interpreter da izvrši pristup izvan granica ulaznog niza i sruši sistem”, napominje se. “Dodatna provjera dodaje dodatni sloj validacije vremena izvođenja da veličina ulaznog niza odgovara broju ulaza koji se očekuje u sadržaju brzog odgovora.”
Zbog toga, CrowdStrike je rekao da planira povećati pokrivenost testovima tokom razvoja Template Type-a kako bi uključio testne slučajeve za kriterijume podudaranja bez džokera za svako polje u svim (budućim) Tipovima šablona.
Očekuje se da će neka od ažuriranja senzora riješiti sljedeće nedostatke:
- Validator sadržaja se modificira kako bi se dodale nove provjere kako bi se osiguralo da sadržaj u instancama predložaka ne uključuje podudarne kriterije koji se podudaraju u više polja nego što se daje kao ulaz za interpretator sadržaja
- Content Validator se modificira kako bi omogućio samo kriterije podudaranja zamjenskih znakova u 21. polju, što sprječava pristup izvan granica senzorima koji pružaju samo 20 ulaza
- Sistem konfiguracije sadržaja je ažuriran novim procedurama testiranja kako bi se osiguralo da se testira svaka nova instanca predloška, bez obzira na činjenicu da je početna instanca predloška testirana s tipom predloška pri kreiranju
- Sistem konfiguracije sadržaja je ažuriran dodatnim slojevima implementacije i provjerama prihvatljivosti
- Falcon platforma je ažurirana kako bi kupcima omogućila povećanu kontrolu nad isporukom sadržaja za brzi odgovor
Na kraju, ali ne i najmanje važno, CrowdStrike je rekao da je angažovao dva nezavisna proizvođača softvera trećih strana da sprovedu dalju reviziju Falcon senzorskog koda kako za sigurnost tako i za osiguranje kvaliteta. Takođe vrši nezavisnu reviziju procesa kvaliteta od kraja do kraja od razvoja do implementacije.
Dalje, obećao je da će raditi s Microsoftom jer Windows uvodi nove načine za obavljanje sigurnosnih funkcija u korisničkom prostoru umjesto oslanjanja na upravljački program kernela.
“CrowdStrikeov kernel drajver se učitava od rane faze pokretanja sistema kako bi omogućio senzoru da posmatra i brani od zlonamjernog softvera koji se pokreće prije pokretanja procesa u korisničkom režimu”, navodi se.
„Pružanje ažuriranog sigurnosnog sadržaja (npr. CrowdStrike-ovog sadržaja za brzi odgovor) ovim mogućnostima kernela omogućava senzoru da brani sisteme od brzog razvoja prijetnji bez promjene koda kernela. Sadržaj brzog odgovora je konfiguracijski podatak; nije koda ili drajvera kernela.”
Objavljivanje analize osnovnog uzroka dolazi nakon što je Delta Air Lines rekao da “nema izbora” osim da traži odštetu od CrowdStrikea i Microsofta zbog izazivanja velikih poremećaja i koštanja procijenjenih 500 miliona dolara izgubljenog prihoda i dodatnih troškova povezanih s hiljadama otkazanih letova .
I CrowdStrike i Microsoft su od tada odgovorili na kritike, navodeći da nisu krivi za višednevni prekid rada i da je Delta odbila njihove ponude za pomoć na licu mjesta, ukazujući da bi problemi operatera mogli biti mnogo dublji od njegovih Windows mašina. pada kao rezultat neispravnog sigurnosnog ažuriranja.
Izvor:The Hacker News