A CrowdStrike contratou duas empresas de segurança externas para examinar seu software program Falcon minuciosamente após uma interrupção world de TI. A empresa identificou um pequeno erro de codificação como o culpado em uma análise de causas raiz (PDF) publicada esta semana.
Uma crise tecnológica world envolvendo a Microsoft e a CrowdStrike causou caos no mês passado, quando uma atualização de segurança errônea do Falcon causou uma interrupção que impactou cerca de 8,5 milhões de PCs Home windows. Desde então, a Microsoft resolveu isso com uma correção automatizada, enquanto a CrowdStrike emitiu seu próprio patch. Uma seguradora estimou que as empresas da Fortune 500 tiveram perdas coletivas de US$ 5,4 bilhões. Após a crise, o CEO da CrowdStrike se desculpou pelo incidente.
Um relatório recente da CrowdStrike descreve a sequência de eventos. Em fevereiro, um novo recurso de detecção foi adicionado ao Falcon para bloquear ataques de comunicação entre processos (IPC) do Home windows. Esse recurso passou pelo desenvolvimento e testes usuais antes de ser incluído na versão 7.11 do Falcon.
Cronograma da interrupção
Em março, o Falcon foi atualizado remotamente para detectar novas ameaças usando modelos IPC, armazenados em um arquivo rotulado 291. Os sensores do Falcon buscariam esse arquivo, e o Content material Interpreter processaria os dados para fins de detecção.
O problema foi rastreado até o IPC Template Sort, que definiu 21 campos de entrada, mas o código de integração forneceu apenas 20 valores. Essa incompatibilidade não foi detectada durante vários estágios de validação, incluindo testes de liberação do sensor.
O incidente de 19 de julho
Em 19 de julho, dois novos modelos de IPC foram implantados, um deles exigindo 21 entradas. Isso colidiu com a expectativa do Content material Interpreter de 20 entradas, causando leituras de memória fora dos limites e travamentos do sistema em 8,5 milhões de máquinas Home windows.
A CrowdStrike aplicou uma correção para evitar incompatibilidades de entrada. Um patch para o Sensor Content material Compiler foi implementado em 27 de julho, que verifica contagens de entrada. Além disso, verificações de tempo de execução agora estão em vigor para matrizes de entrada, e correções semelhantes estão sendo lançadas para todas as versões de sensor do Home windows 7.11 e posteriores, com um hotfix planejado para lançamento em 9 de agosto.
Consequências legais e financeiras
A interrupção levou a ações judiciais de acionistas e clientes. Há também uma disputa com a Delta Airways sobre seu tempo de recuperação, com a Microsoft intervindo, sugerindo que os atrasos da Delta envolveram sistemas que não eram da Microsoft.
O CrowdStrike visa aprimorar os processos de validação para evitar problemas futuros. As etapas incluem garantir que os campos de entrada correspondam no tempo de compilação, adicionar verificações de tempo de execução ausentes para campos do Content material Interpreter e expandir o escopo do teste do Template Sort. As mudanças futuras envolverão implantações escalonadas de instâncias de template e realocação de funções do driver do kernel para o espaço do usuário.
