Η εταιρεία κυβερνοασφάλειας CrowdStrike δημοσίευσε την ανάλυση της βασικής αιτίας, που περιγράφει λεπτομερώς το σφάλμα ενημέρωσης λογισμικού του Falcon Sensor που επηρέασε εκατομμύρια συσκευές Windows παγκοσμίως.
Δείτε επίσης: CrowdStrike: Η Delta Air Lines αρνήθηκε δωρεάν βοήθεια
Η βασική αιτία, έχει εντοπιστεί σε ένα ζήτημα επικύρωσης περιεχομένου που προέκυψε μετά την εισαγωγή ενός νέου τύπου προτύπου, για να επιτρέψει την ορατότητα και τον εντοπισμό νέων τεχνικών επίθεσης που κάνει κατάχρηση επώνυμων pipes και άλλων μηχανισμών IPC των Windows.
Συγκεκριμένα, σχετίζεται με μια προβληματική ενημέρωση περιεχομένου που αναπτύχθηκε μέσω του cloud, με την εταιρεία να την περιγράφει ως «συρροή» πολλών αδυναμιών που οδήγησαν σε κατάρρευση – το πιο σημαντικό από αυτά είναι η αναντιστοιχία μεταξύ των 21 inputs που διαβιβάστηκαν στο Content Validator μέσω του Τύπου προτύπου IPC σε αντίθεση με τα 20 που παρέχονται στον Content Interpreter.
Η CrowdStrike είπε ότι η αναντιστοιχία παραμέτρων δεν ανακαλύφθηκε κατά τη διάρκεια των “πολλαπλών επιπέδων” της διαδικασίας δοκιμής, εν μέρει λόγω της χρήσης κριτηρίων αντιστοίχισης χαρακτήρων-μπαλαντέρ για το 21ο input, κατά τη διάρκεια της δοκιμής και στις αρχικές παρουσίες προτύπου IPC που παραδόθηκαν μεταξύ Μαρτίου και Απριλίου 2024.
Δείτε ακόμα: Μέτοχοι μήνυσαν την CrowdStrike για το παγκόσμιο Blackout
Με άλλα λόγια, η νέα έκδοση του Channel File 291 που προωθήθηκε στις 19 Ιουλίου 2024, ήταν η πρώτη παρουσία προτύπου IPC που έκανε χρήση του 21ου πεδίου παραμέτρου εισόδου. Η έλλειψη ειδικής περίπτωσης δοκιμής για κριτήρια αντιστοίχισης χωρίς χαρακτήρες-μπαλαντέρ στο 21ο πεδίο σήμαινε ότι αυτό δεν επισημάνθηκε παρά μόνο μετά την αποστολή του Rapid Response Content στους αισθητήρες.
Εκτός από την επικύρωση του αριθμού των πεδίων εισόδου στον Τύπο προτύπου κατά τον χρόνο μεταγλώττισης του αισθητήρα για την αντιμετώπιση του προβλήματος, η CrowdStrike είπε ότι πρόσθεσε επίσης ελέγχους ορίων πίνακα εισόδου χρόνου εκτέλεσης στον Διερμηνέα περιεχομένου, για να αποτρέψει τις αναγνώσεις μνήμης εκτός ορίων και διόρθωσε τον αριθμό των παρεχόμενων inputs από τον τύπο προτύπου IPC.
Επιπλέον, η CrowdStrike είπε ότι σχεδιάζει να αυξήσει την κάλυψη δοκιμής κατά την ανάπτυξη Τύπου προτύπου για να συμπεριλάβει δοκιμαστικές περιπτώσεις για κριτήρια αντιστοίχισης χωρίς χαρακτήρες-μπαλαντέρ για κάθε πεδίο σε όλους τους (μελλοντικούς) τύπους προτύπων.
Τελευταίο αλλά εξίσου σημαντικό, η CrowdStrike είπε ότι έχει προσλάβει δύο ανεξάρτητους προμηθευτές ασφάλειας λογισμικού για τη διεξαγωγή περαιτέρω αναθεώρησης του κώδικα αισθητήρα Falcon τόσο για ασφάλεια όσο και για διασφάλιση της ποιότητας. Διενεργεί επίσης μια ανεξάρτητη αναθεώρηση της διαδικασίας ποιότητας από άκρο σε άκρο.
Δείτε επίσης: Η Delta Air Lines ζητά αποζημίωση από τις CrowdStrike και Microsoft
Πριν από μερικές εβδομάδες, η CrowdStrike αντιμετώπισε μια σημαντική διακοπή δικτύου, που επηρέασε τις υπηρεσίες της παγκοσμίως. Η διακοπή είχε σαν αποτέλεσμα προσωρινή μη διαθεσιμότητα για τους χρήστες που βασίζονται στις λύσεις της στον κυβερνοχώρο. Κατά τη διάρκεια αυτής της διακοπής, οι πελάτες αντιμετώπισαν καθυστερήσεις στις δυνατότητες ανίχνευσης απειλών και απόκρισης. Η ομάδα της CrowdStrike εργάστηκε επιμελώς για την αποκατάσταση των υπηρεσιών, παρέχοντας ενημερώσεις μέσω των επίσημων καναλιών της. Μετά την επίλυση της διακοπής, ξεκίνησε έρευνα για την αξιολόγηση των επιπτώσεων και την αποτροπή μελλοντικών περιστατικών. Οι πελάτες συμβουλεύτηκαν να εφαρμόσουν πρόσθετα μέτρα ασφαλείας κατά τη διάρκεια της διακοπής λειτουργίας και να παραμείνουν σε επαγρύπνηση για οποιαδήποτε ασυνήθιστη δραστηριότητα.
Πηγή: thehackernews
