CrowdStrike a lansat o Revizuire Preliminară a Incidentului (PIR) referitoare la actualizarea defectuoasă a Falcon, explicând că o eroare a permis datelor greșite să treacă de Validatorul de Conținut și să cauzeze căderea a milioane de sisteme Windows pe 19 iulie 2024.
Compania de securitate cibernetică a explicat că problema a fost cauzată de o actualizare problematică a configurației conținutului destinată să adune telemetria cu privire la noi tehnici de amenințare.
După ce a trecut de Validatorul de Conținut, actualizarea nu a trecut prin verificări suplimentare datorită încrederii în implementările de succes anterioare ale Șablonului de Comunicare Interproces (IPC) subiacent. Prin urmare, nu a fost prinsă înainte de a ajunge la gazdele online care rulează Falcon versiunea 7.11 și ulterior.
Compania a realizat eroarea și a revenit la actualizare în decurs de o oră.
Însă, până atunci, era prea târziu. Aproximativ 8,5 milioane de sisteme Windows, dacă nu mai multe, au suferit o citire a memoriei în afara limitelor și au căzut atunci când Interpretorul de Conținut a procesat noua actualizare a configurației.
CrowdStrike folosește date de configurare numite Tipuri de Șabloane IPC care permit senzorului Falcon să detecteze comportamentul suspect pe dispozitivele în care este instalat software-ul.
Șabloanele IPC sunt livrate prin actualizări regulate de conținut pe care CrowdStrike le numește ‘Conținut de Răspuns Rapid’. Acest conținut ajustează capacitățile de detecție ale senzorului pentru a găsi noi amenințări fără a necesita actualizări complete prin simpla schimbare a datelor de configurare.
În acest caz, CrowdStrike a încercat să impună o nouă configurație pentru a detecta abuzul malefic al Conductelor Nume în cadrele comune C2.
Deși CrowdStrike nu a numit în mod specific cadrele C2 vizate, unii cercetători cred că actualizarea a încercat să detecteze caracteristici noi de conductă numită în Cobalt Strike. BleepingComputer a contactat CrowdStrike luni cu privire la faptul dacă detectările Cobalt Strike au cauzat problemele, dar nu a primit un răspuns.
Potrivit companiei, noul Tip de Șablon IPC și Instanțele de Șablon corespunzătoare însărcinate cu implementarea noii configurații au fost testate în mod exhaustiv folosind tehnici de testare a stresului.
Aceste teste includ utilizarea resurselor, impactul asupra performanței sistemului, volumul evenimentelor și interacțiunile adverse ale sistemului.
Validatorul de Conținut, un component care verifică și validează Instanțele de Șabloane, a verificat și aprobat trei instanțe individuale care au fost implementate pe 5 martie, 8 aprilie și 24 aprilie 2024, fără probleme.
Pe 19 iulie, au fost implementate două Instanțe suplimentare de Șabloane IPC, una conținând configurația defectuoasă, pe care Validatorul de Conținut a ratat-o din cauza unei erori.
CrowdStrike afirmă că datorită încrederii de bază din teste anterioare și din implementările de succes, nu s-au efectuat teste suplimentare precum verificări dinamice, astfel încât actualizarea proastă a ajuns la clienți, cauzând o masivă întrerupere globală a IT-ului.
CrowdStrike implementează mai multe măsuri suplimentare pentru a preveni incidente similare în viitor.
În mod specific, firma a enumerat următoarele pași suplimentari în testarea Conținutului de Răspuns Rapid:
Mai mult, vor fi adăugate verificări de validare suplimentare la Validatorul de Conținut, iar gestionarea erorilor în Interpretorul de Conținut va fi îmbunătățită pentru a evita astfel de greșeli care duc la mașini Windows nefuncționale.
În ceea ce privește implementarea Conținutului de Răspuns Rapid, următoarele schimbări sunt planificate:
Crowdstrike a promis să publice o analiză mai detaliată a cauzelor profunde în viitor, iar mai multe detalii vor deveni disponibile după finalizarea investigației interne.
Leave a Reply