CrowdStrike tiết lộ nguyên nhân gốc rễ của sự cố ngừng hoạt động hệ thống

Tác giả AI+, T.Tám 08, 2024, 07:04:36 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Công ty an ninh mạng CrowdStrike đã công bố phân tích nguyên nhân gốc rễ, nêu chi tiết sự cố cập nhật phần mềm Falcon Sensor khiến hàng triệu thiết bị Windows trên toàn cầu bị tê liệt.

Sự cố "Tệp kênh 291", như được nhấn mạnh ban đầu trong Đánh giá sơ bộ sau sự cố (PIR), đã được bắt nguồn từ vấn đề xác thực nội dung phát sinh sau khi nó giới thiệu Loại mẫu mới để cho phép hiển thị và phát hiện các kỹ thuật tấn công mới lạm dụng các đường dẫn có tên và các cơ chế giao tiếp liên tiến trình (IPC) khác của Windows.


Cụ thể, nó liên quan đến một bản cập nhật nội dung có vấn đề được triển khai trên đám mây, công ty mô tả nó là "sự kết hợp" của một số thiếu sót dẫn đến sự cố - điểm nổi bật nhất trong số đó là sự không khớp giữa 21 đầu vào được chuyển tới Trình xác thực nội dung. thông qua Loại mẫu IPC thay vì 20 loại được cung cấp cho Trình thông dịch nội dung.

CrowdStrike cho biết thông số không khớp không được phát hiện trong "nhiều lớp" của quy trình thử nghiệm, một phần là do việc sử dụng tiêu chí khớp ký tự đại diện cho đầu vào thứ 21 trong quá trình thử nghiệm và trong các Phiên bản mẫu IPC ban đầu được phân phối từ tháng 3 đến tháng 4 năm 2024.

Nói cách khác, phiên bản mới của Channel File 291 được phát hành vào ngày 19 tháng 7 năm 2024, là Phiên bản mẫu IPC đầu tiên sử dụng trường tham số đầu vào thứ 21. Việc thiếu trường hợp thử nghiệm cụ thể cho tiêu chí khớp không phải ký tự đại diện trong trường thứ 21 có nghĩa là trường này không được gắn cờ cho đến sau khi Nội dung phản hồi nhanh được chuyển đến cảm biến.

Công ty cho biết: "Các cảm biến nhận được phiên bản mới của Channel File 291 mang nội dung có vấn đề đã gặp phải sự cố đọc ngoài giới hạn tiềm ẩn trong Trình thông dịch nội dung".

"Tại thông báo IPC tiếp theo từ hệ điều hành, các Phiên bản mẫu IPC mới đã được đánh giá, chỉ định so sánh với giá trị đầu vào thứ 21. Trình thông dịch nội dung dự kiến chỉ có 20 giá trị. Do đó, nỗ lực truy cập giá trị thứ 21 đã tạo ra lỗi ngoài dự kiến." -bounds bộ nhớ đọc vượt quá phần cuối của mảng dữ liệu đầu vào và dẫn đến sự cố hệ thống."

Bên cạnh việc xác thực số lượng trường đầu vào trong Loại mẫu tại thời điểm biên dịch cảm biến để giải quyết vấn đề, CrowdStrike cho biết họ cũng đã thêm các kiểm tra giới hạn mảng đầu vào trong thời gian chạy vào Trình thông dịch nội dung để ngăn việc đọc bộ nhớ ngoài giới hạn và sửa số lượng đầu vào được cung cấp theo Loại mẫu IPC.

Nó lưu ý: "Việc kiểm tra giới hạn được thêm vào sẽ ngăn Trình thông dịch nội dung thực hiện truy cập ngoài giới hạn của mảng đầu vào và làm hỏng hệ thống". "Việc kiểm tra bổ sung sẽ bổ sung thêm một lớp xác thực thời gian chạy để đảm bảo rằng kích thước của mảng đầu vào khớp với số lượng đầu vào mà Nội dung phản hồi nhanh mong đợi."

Ngoài ra, CrowdStrike cho biết họ có kế hoạch tăng cường phạm vi thử nghiệm trong quá trình phát triển Loại mẫu để bao gồm các trường hợp thử nghiệm cho tiêu chí khớp không phải ký tự đại diện cho từng trường trong tất cả các Loại mẫu (trong tương lai).

Một số bản cập nhật cảm biến cũng được kỳ vọng sẽ giải quyết những thiếu sót sau:

  • Trình xác thực nội dung đang được sửa đổi để thêm các bước kiểm tra mới nhằm đảm bảo rằng nội dung trong Phiên bản mẫu không bao gồm các tiêu chí phù hợp khớp với nhiều trường hơn mức được cung cấp làm đầu vào cho Trình thông dịch nội dung
  • Trình xác thực nội dung đang được sửa đổi để chỉ cho phép tiêu chí khớp ký tự đại diện trong trường thứ 21, điều này ngăn chặn quyền truy cập ngoài giới hạn trong các cảm biến chỉ cung cấp 20 đầu vào
  • Hệ thống cấu hình nội dung đã được cập nhật với các quy trình kiểm tra mới để đảm bảo rằng mọi Phiên bản mẫu mới đều được kiểm tra, bất kể thực tế là Phiên bản mẫu ban đầu đã được kiểm tra với Loại mẫu khi tạo
  • Hệ thống cấu hình nội dung đã được cập nhật với các lớp triển khai bổ sung và kiểm tra chấp nhận
  • Nền tảng Falcon đã được cập nhật để cung cấp cho khách hàng khả năng kiểm soát cao hơn đối với việc phân phối Nội dung phản hồi nhanh

Cuối cùng nhưng không kém phần quan trọng, CrowdStrike cho biết họ đã thuê hai nhà cung cấp bảo mật phần mềm độc lập bên thứ ba để tiến hành xem xét thêm về mã cảm biến Falcon để đảm bảo cả về bảo mật và chất lượng. Nó cũng đang tiến hành đánh giá độc lập về quy trình chất lượng từ đầu đến cuối từ quá trình phát triển đến triển khai.

Họ còn cam kết hợp tác với Microsoft khi Windows giới thiệu những cách mới để thực hiện các chức năng bảo mật trong không gian người dùng thay vì dựa vào trình điều khiển hạt nhân.

"Trình điều khiển kernel của CrowdStrike được tải từ giai đoạn đầu khởi động hệ thống để cho phép cảm biến quan sát và bảo vệ khỏi phần mềm độc hại khởi chạy trước khi quá trình chế độ người dùng bắt đầu," nó cho biết.

"Việc cung cấp nội dung bảo mật cập nhật (ví dụ: Nội dung phản hồi nhanh của CrowdStrike) cho các khả năng hạt nhân này cho phép cảm biến bảo vệ hệ thống trước bối cảnh mối đe dọa đang phát triển nhanh chóng mà không cần thay đổi mã hạt nhân. Nội dung phản hồi nhanh là dữ liệu cấu hình; nó không phải là mã hoặc trình điều khiển hạt nhân."

Việc công bố phân tích nguyên nhân gốc rễ được đưa ra khi Delta Air Lines cho biết họ "không có lựa chọn nào khác" ngoài việc yêu cầu CrowdStrike và Microsoft bồi thường thiệt hại vì đã gây ra sự gián đoạn lớn và khiến hãng này thiệt hại khoảng 500 triệu USD doanh thu bị mất và các chi phí bổ sung liên quan đến hàng nghìn chuyến bay bị hủy..

Kể từ đó, cả CrowdStrike và Microsoft đều đã phản hồi lại những lời chỉ trích, nói rằng họ không phải chịu trách nhiệm về việc ngừng hoạt động kéo dài nhiều ngày và Delta đã từ chối lời đề nghị hỗ trợ tại chỗ của họ, cho thấy rằng các vấn đề của nhà cung cấp dịch vụ này có thể còn nghiêm trọng hơn nhiều so với các máy Windows của họ đang hoạt động. ngừng hoạt động do cập nhật bảo mật bị lỗi.