Η Crowdstrike εξηγεί επίσημα τι προκάλεσε το χάος στα συστήματα Windows

0


Την περασμένη εβδομάδα, εκτιμάται ότι 8,5 εκατομμύρια υπολογιστές με λειτουργικό σύστημα Windows επλήγησαν από μια προβληματική ενημέρωση λογισμικού του CrowdStrike Falcon, η οποία οδήγησε σε BSODs (μπλε οθόνη θανάτου) σε αυτά τα επηρεαζόμενα συστήματα με μήνυμα σφάλματος «csagent.sys (PAGE_FAULT_IN_NONEPAGED_AREA)». Οι επιπτώσεις έγιναν αισθητές σε όλους τους τομείς με αεροπορικές εταιρείες όπως η Delta να αναγκάζονται να ακυρώσουν εκατοντάδες πτήσεις.

Το Crowdstrike Falcon sensor SOAR (Security Orchestration, Automation and Response) είναι μια λύση ασφάλειας τελικών σημείων της εταιρείας που προορίζεται για την πρόληψη κακόβουλου λογισμικού και διαφόρων κυβερνοεπιθέσεων.

Αντιλαμβανόμενη ότι η ανάκτηση από μια τόσο μαζική διακοπή δεν θα ήταν εύκολη, η Microsoft παρέπεμψε στην καθοδήγησή της σχετικά με την επαναφορά των επιχειρηματικών και εταιρικών συστημάτων σε ένα προηγούμενο σημείο λειτουργίας ως προσωρινή λύση πριν από τη δημοσίευση ενός εργαλείου ανάκτησης.

Η CrowdStrike προσέφερε επίσης ολοκληρωμένες λύσεις αντιμετώπισης του προβλήματος. Στη συνέχεια, η εταιρεία δημοσίευσε μια νέα σελίδα υποστήριξης «Remediation and Guidance Hub» όπου εξηγούσε διάφορα σημεία σχετικά με την αντιμετώπιση του προβλήματος, έτσι ώστε οι διαχειριστές IT και συστημάτων να μπορούν να βρουν όλα όσα χρειάζονται σε ένα μέρος.

Η CrowdStrike ανακοίνωσε επίσης μια νέα τεχνική που δοκιμάζει να αναπτύξει προκειμένου να επιταχύνει την αποκατάσταση των επηρεαζόμενων συστημάτων. Η εταιρεία κυβερνοασφάλειας δημοσίευσε τώρα μια προκαταρκτική ανασκόπηση μετά το συμβάν (Preliminary Post Incident Review – PIR) της παγκόσμιας διακοπής λειτουργίας στη σελίδα της Remediation and Guidance Hub, η οποία περιγράφει λεπτομερώς το τι συνέβη.

Με λίγα λόγια, το πρόβλημα ήταν μια ενημερωμένη έκδοση περιεχομένου ταχείας απόκρισης που είχε έναν προβληματικό τύπο προτύπου InterProcess Communication (IPC), ο οποίος επικυρώθηκε εσφαλμένα κατά τη διάρκεια της δοκιμής. Η κακή IPC είναι ουσιαστικά αυτό που οδήγησε στο επακόλουθο χάος:

Τι συνέβη;

Την Παρασκευή, 19 Ιουλίου 2024 στις 04:09 UTC, στο πλαίσιο των τακτικών λειτουργιών, η CrowdStrike κυκλοφόρησε μια ενημερωμένη έκδοση διαμόρφωσης περιεχομένου για τον αισθητήρα στα Windows για τη συλλογή τηλεμετρίας σχετικά με πιθανές νέες τεχνικές απειλών.

Τα συστήματα που εμπίπτουν στο πεδίο εφαρμογής περιλαμβάνουν κεντρικούς υπολογιστές Windows με έκδοση αισθητήρα 7.11 και άνω, οι οποίοι ήταν συνδεδεμένοι μεταξύ της Παρασκευής 19 Ιουλίου 2024 04:09 UTC και της Παρασκευής 19 Ιουλίου 2024 05:27 UTC και έλαβαν την ενημέρωση. Οι υπολογιστές Mac και Linux δεν επηρεάστηκαν.

Το ελάττωμα στην ενημέρωση περιεχομένου αποκαταστάθηκε την Παρασκευή 19 Ιουλίου 2024 στις 05:27 UTC. Τα συστήματα που τέθηκαν σε λειτουργία μετά από αυτή τη στιγμή ή που δεν συνδέθηκαν κατά τη διάρκεια του παραθύρου, δεν επηρεάστηκαν.

Τι πήγε στραβά και γιατί;

Η CrowdStrike παραδίδει ενημερώσεις διαμόρφωσης περιεχομένου ασφαλείας στους αισθητήρες μας με δύο τρόπους: Περιεχόμενο αισθητήρων που αποστέλλεται απευθείας με τους αισθητήρες μας και Περιεχόμενο ταχείας απόκρισης που έχει σχεδιαστεί για να ανταποκρίνεται στο μεταβαλλόμενο τοπίο απειλών με επιχειρησιακή ταχύτητα.

Το πρόβλημα της Παρασκευής αφορούσε μια ενημέρωση περιεχομένου ταχείας απόκρισης με ένα μη εντοπισμένο σφάλμα.

Τι συνέβη στις 19 Ιουλίου 2024;

Στις 19 Ιουλίου 2024, αναπτύχθηκαν δύο επιπλέον IPC Template Instances. Λόγω ενός σφάλματος στον επικυρωτή περιεχομένου, μία από τις δύο περιπτώσεις προτύπων πέρασε την επικύρωση παρόλο που περιείχε προβληματικά δεδομένα περιεχομένου.

Με βάση τις δοκιμές που πραγματοποιήθηκαν πριν από την αρχική ανάπτυξη του τύπου προτύπου (στις 05 Μαρτίου 2024), την εμπιστοσύνη στους ελέγχους που πραγματοποιήθηκαν στον επικυρωτή περιεχομένου και τις προηγούμενες επιτυχείς εγκαταστάσεις του προτύπου IPC, αυτές οι περιπτώσεις αναπτύχθηκαν στην παραγωγή.

Όταν λήφθηκε από τον αισθητήρα και φορτώθηκε στον διερμηνέα περιεχομένου, το προβληματικό περιεχόμενο στο αρχείο 291 του καναλιού οδήγησε σε ανάγνωση μνήμης εκτός ορίων, προκαλώντας μια εξαίρεση. Αυτή η απροσδόκητη εξαίρεση δεν μπορούσε να αντιμετωπιστεί με τάξη, με αποτέλεσμα την κατάρρευση του λειτουργικού συστήματος Windows (BSOD).

[via]



Πηγή