A empresa de segurança cibernética CrowdStrike culpou na quarta-feira um problema em seu sistema de validação por causar falhas em milhões de dispositivos Home windows como parte de uma indisponibilidade generalizada no closing da semana passada.
“Na sexta-feira, 19 de julho de 2024, às 04:09 UTC, como parte das operações regulares, a CrowdStrike lançou uma atualização de configuração de conteúdo para o sensor do Home windows para coletar telemetria sobre possíveis novas técnicas de ameaça”, disse a empresa em sua Revisão Preliminar Pós-Incidente (PIR).
“Essas atualizações são uma parte common dos mecanismos de proteção dinâmica da plataforma Falcon. A atualização problemática da configuração do Speedy Response Content material resultou em uma falha do sistema Home windows.”
O incidente impactou hosts Home windows executando a versão 7.11 e superior do sensor que estava on-line entre 19 de julho de 2024, 04:09 UTC e 05:27 UTC e recebeu a atualização. Os sistemas Apple macOS e Linux não foram afetados.
A CrowdStrike disse que entrega atualizações de configuração de conteúdo de segurança de duas maneiras: uma por meio do Sensor Content material, que é enviado com o Falcon Sensor, e outra por meio do Speedy Response Content material, que permite sinalizar novas ameaças usando várias técnicas de correspondência de padrões comportamentais.
Dizem que a falha foi resultado de uma atualização do Speedy Response Content material contendo um erro não detectado anteriormente. Vale a pena notar que tais atualizações são entregues na forma de Template Cases correspondentes a comportamentos específicos – que são mapeados para Template Varieties específicos – para habilitar nova telemetria e detecção.
As Instâncias de Template, por sua vez, são criadas usando um Sistema de Configuração de Conteúdo, após o qual são implantadas no sensor pela nuvem por meio de um mecanismo chamado Channel Information, que são finalmente gravados no disco na máquina Home windows. O sistema também abrange um componente Content material Validator que realiza verificações de validação no conteúdo antes de ele ser publicado.
“O Speedy Response Content material fornece visibilidade e detecções no sensor sem exigir alterações no código do sensor”, explicou.
“Esse recurso é usado por engenheiros de detecção de ameaças para reunir telemetria, identificar indicadores de comportamento adversário e executar detecções e prevenções. O Speedy Response Content material é uma heurística comportamental, separada e distinta dos recursos de prevenção e detecção de IA no sensor da CrowdStrike.”
Essas atualizações são então analisadas pelo Content material Interpreter do sensor Falcon, que então facilita o Sensor Detection Engine a detectar ou prevenir atividades maliciosas.
Embora cada novo tipo de modelo seja testado quanto a diferentes parâmetros, como utilização de recursos e impacto no desempenho, a causa raiz do problema, segundo a CrowdStrike, pode ser rastreada até a implementação do tipo de modelo de comunicação entre processos (IPC) em 28 de fevereiro de 2024, que foi introduzido para sinalizar ataques com pipes nomeados.
A linha do tempo dos eventos é a seguinte:
- 28 de fevereiro de 2024 – CrowdStrike lança sensor 7.11 para clientes com novo tipo de modelo IPC
- 5 de março de 2024 – O tipo de modelo IPC passa no teste de estresse e é validado para uso
- 5 de março de 2024 – A instância do modelo IPC é liberada para produção por meio do arquivo de canal 291
- 8 a 24 de abril de 2024 – Mais três instâncias de modelo IPC são implantadas em produção
- 19 de julho de 2024 – Duas instâncias de modelo IPC adicionais são implantadas, uma das quais passa na validação apesar de ter dados de conteúdo problemáticos
“Com base nos testes realizados antes da implantação inicial do Tipo de Modelo (em 5 de março de 2024), na confiança nas verificações realizadas no Validador de Conteúdo e nas implantações anteriores bem-sucedidas de Instâncias de Modelo IPC, essas instâncias foram implantadas na produção”, disse a CrowdStrike.
“Quando recebido pelo sensor e carregado no Content material Interpreter, o conteúdo problemático no Channel File 291 resultou em uma leitura de memória fora dos limites, disparando uma exceção. Essa exceção inesperada não pôde ser tratada adequadamente, resultando em uma falha do sistema operacional Home windows (BSoD).”
Em resposta às interrupções radicais causadas pelo acidente e para evitar que elas aconteçam novamente, a empresa sediada no Texas disse que melhorou seus processos de teste e aprimorou seu mecanismo de tratamento de erros no Content material Interpreter. Ela também está planejando implementar uma estratégia de implantação escalonada para o Speedy Response Content material.
