Σε πρόβλημα του συστήματος επικύρωσής της, ισχυρίζεται η CrowdStrike ότι οφείλεται το «blackout» της Παρασκευής που κατέρρευσαν συσκευές Windows.
«Την Παρασκευή, 19 Ιουλίου 2024, στις 04:09 UTC, κατά τη διάρκεια των τακτικών λειτουργιών, η CrowdStrike κυκλοφόρησε μια ενημέρωση διαμόρφωσης περιεχομένου για τον sensor των Windows με σκοπό τη συλλογή τηλεμετρικών δεδομένων σχετικά με πιθανές νέες τεχνικές απειλής», ανέφερε η εταιρεία στην Προκαταρκτική Ανασκόπηση Συμβάντος (PIR).
Διαβάστε επίσης: Ενημέρωση CrowdStrike επηρεάζει χρήστες Windows – Διακοπές λειτουργίας σε υπηρεσίες Microsoft 365/Azure
«Αυτές οι ενημερώσεις αποτελούν τακτικό μέρος των δυναμικών μηχανισμών προστασίας της πλατφόρμας Falcon. Η προβληματική ενημέρωση διαμόρφωσης περιεχομένου ταχείας απόκρισης προκάλεσε την κατάρρευση των συστημάτων Windows.»
Το περιστατικό επηρέασε κεντρικούς υπολογιστές Windows που εκτελούσαν την έκδοση sensor 7.11 και μεταγενέστερες, συνδεδεμένες μεταξύ 19 Ιουλίου 2024, 04:09 UTC και 05:27 UTC, οι οποίες έλαβαν την ενημέρωση. Τα συστήματα Apple macOS και Linux δεν επηρεάστηκαν.
Η CrowdStrike εξήγησε ότι παρέχει ενημερώσεις διαμόρφωσης περιεχομένου ασφαλείας με δύο τρόπους: μέσω του Sensor Content που αποστέλλεται με τον Falcon Sensor και μέσω του Rapid Response Content που επιτρέπει την ανίχνευση νέων απειλών χρησιμοποιώντας διάφορες τεχνικές αντιστοίχισης μοτίβων συμπεριφοράς.
Η κατάρρευση αποδόθηκε σε μια ενημέρωση περιεχομένου ταχείας απόκρισης που περιείχε ένα μη ανιχνευμένο σφάλμα. Αξιοσημείωτο είναι ότι αυτές οι ενημερώσεις παραδίδονται ως περιπτώσεις προτύπων που αντιστοιχούν σε συγκεκριμένες συμπεριφορές, ενεργοποιώντας νέα τηλεμετρία και ανίχνευση.
Τα Template Instances δημιουργούνται μέσω ενός Συστήματος Διαμόρφωσης Περιεχομένου και αναπτύσσονται στον sensor μέσω cloud των αρχείων, τα οποία τελικά εγγράφονται στον σκληρό δίσκο των Windows. Το σύστημα περιλαμβάνει επίσης ένα στοιχείο Content Validator που πραγματοποιεί ελέγχους επικύρωσης του περιεχομένου πριν από τη δημοσίευσή του.
“Το Περιεχόμενο Γρήγορης Απόκρισης παρέχει ορατότητα και ανιχνεύσεις στον sensor χωρίς να απαιτούνται αλλαγές στον κώδικα του sensor,” εξήγησε.
Αυτή η δυνατότητα χρησιμοποιείται από μηχανικούς ανίχνευσης απειλών για τη συλλογή τηλεμετρικών δεδομένων, τον εντοπισμό συμπεριφορικών δεικτών αντιπάλων και την εκτέλεση εντοπισμών και προληπτικών μέτρων. Το Περιεχόμενο Γρήγορης Απόκρισης περιλαμβάνει αναλύσεις συμπεριφοράς, ξεχωριστές από τις δυνατότητες πρόληψης και ανίχνευσης τεχνητής νοημοσύνης με τους sensors της CrowdStrike.
Στη συνέχεια, αυτές οι ενημερώσεις αναλύονται από τον Διερμηνέα περιεχομένου του sensor Falcon, ο οποίος στη συνέχεια διευκολύνει τη μηχανή sensor ανίχνευσης να ανιχνεύει ή να αποτρέπει κακόβουλη δραστηριότητα.
Δείτε περισσότερα: Εκτός ελέγχου η παγκόσμια διακοπή σε Microsoft και Windows
Ενώ κάθε νέος τύπος προτύπου ελέγχεται για διάφορες παραμέτρους, όπως η χρήση πόρων και ο αντίκτυπος στην απόδοση, η βασική αιτία του προβλήματος, σύμφωνα με την CrowdStrike, μπορεί να εντοπιστεί στην κυκλοφορία του προτύπου Interprocess Communication (IPC) στις 28 Φεβρουαρίου 2024, που οδήγησε σε επιθέσεις pipes.
Το χρονοδιάγραμμα των εκδηλώσεων έχει ως εξής –
28 Φεβρουαρίου 2024 – Η CrowdStrike κυκλοφορεί τον sensor 7.11 σε πελάτες με νέο IPC Template Type
5 Μαρτίου 2024 – Το IPC Template Type περνά το stress test και έχει επικυρωθεί για χρήση
5 Μαρτίου 2024 – Το παράδειγμα IPC περιπτώσεων κυκλοφορεί στην παραγωγή μέσω του Channel File 291
8 – 24 Απριλίου 2024 – Αναπτύσσονται τρεις ακόμη IPC Template περιπτώσεις
19 Ιουλίου 2024 – Αναπτύσσονται δύο πρόσθετες IPC Template περιπτώσεις, μια εκ των οποίων επικυρώνεται, παρόλο που έχει προβληματικά δεδομένα περιεχομένου
“Με βάση τις δοκιμές που έγιναν πριν την ανάπτυξη του Template Type στις 05 Μαρτίου 2024, την εμπιστοσύνη στον έλεγχο του Content Validator και τις προηγούμενες επιτυχημένες αναπτύξεις των περιπτώσεων IPC, αυτές οι παρουσίες αναπτύχθηκαν στην παραγωγή”, είπε η CrowdStrike.
Όταν ο sensor κατέγραψε και φόρτωσε το προβληματικό περιεχόμενο από το Channel File 291 στον Content Validator, προκλήθηκε out-of-bounds ανάγνωση μνήμης που ενεργοποίησε μια εξαίρεση, η οποία δεν μπορούσε να αντιμετωπιστεί αποτελεσματικά, οδηγώντας σε κατάρρευση του λειτουργικού συστήματος των Windows (BSoD).
Δείτε ακόμη: Ο CEO της CrowdStrike καλείται να καταθέσει για τη διακοπή
Σε απάντηση στις εκτεταμένες διακοπές που προκλήθηκαν και για να αποτρέψει την επανεμφάνισή τους, η εταιρεία με έδρα το Τέξας ανακοίνωσε ότι έχει βελτιώσει τις διαδικασίες δοκιμών και ενισχύσει τον μηχανισμό χειρισμού σφαλμάτων στον Content Validator. Επίσης, σχεδιάζει να εφαρμόσει μια σταδιακή στρατηγική ανάπτυξης για Περιεχόμενο Γρήγορης Απόκρισης (Rapid Response Content).
Πηγή: thehackernews
