A empresa de segurança cibernética CrowdStrike publicou sua análise de causa raiz detalhando a falha na atualização do software program Falcon Sensor que paralisou milhões de dispositivos Home windows no mundo todo.
O incidente “Channel File 291”, conforme destacado originalmente em sua Preliminary Submit Incident Evaluation (PIR), foi rastreado até um problema de validação de conteúdo que surgiu após a introdução de um novo tipo de modelo para permitir a visibilidade e a detecção de novas técnicas de ataque que abusam de pipes nomeados e outros mecanismos de comunicação entre processos (IPC) do Home windows.
Especificamente, está relacionado a uma atualização de conteúdo problemática implantada na nuvem, com a empresa descrevendo-a como uma “confluência” de várias deficiências que levaram a uma falha – a mais proeminente delas é uma incompatibilidade entre as 21 entradas passadas para o Validador de Conteúdo por meio do Tipo de Modelo IPC em oposição às 20 fornecidas ao Interpretador de Conteúdo.
A CrowdStrike disse que a incompatibilidade de parâmetros não foi descoberta durante “múltiplas camadas” do processo de teste, em parte devido ao uso de critérios de correspondência curinga para a 21ª entrada durante o teste e nas instâncias iniciais do modelo IPC que foram entregues entre março e abril de 2024.
Em outras palavras, a nova versão do Channel File 291 enviada em 19 de julho de 2024 foi a primeira IPC Template Occasion a fazer uso do 21º campo de parâmetro de entrada. A falta de um caso de teste específico para critérios de correspondência não curinga no 21º campo significou que isso não foi sinalizado até depois que o Fast Response Content material foi enviado aos sensores.
“Sensores que receberam a nova versão do Channel File 291 contendo o conteúdo problemático foram expostos a um problema latente de leitura fora dos limites no Content material Interpreter”, disse a empresa.
“Na próxima notificação IPC do sistema operacional, as novas Instâncias de Modelo IPC foram avaliadas, especificando uma comparação com o 21º valor de entrada. O Interpretador de Conteúdo esperava apenas 20 valores. Portanto, a tentativa de acessar o 21º valor produziu uma leitura de memória fora dos limites além do fim do array de dados de entrada e resultou em uma falha do sistema.”
Além de validar o número de campos de entrada no Tipo de Modelo no momento da compilação do sensor para resolver o problema, a CrowdStrike disse que também adicionou verificações de limites de matriz de entrada de tempo de execução ao Interpretador de Conteúdo para evitar leituras de memória fora dos limites e corrigiu o número de entradas fornecidas pelo Tipo de Modelo IPC.
“A verificação de limites adicionada impede que o Content material Interpreter execute um acesso fora dos limites do array de entrada e trave o sistema”, observou. “A verificação adicional adiciona uma camada additional de validação de tempo de execução de que o tamanho do array de entrada corresponde ao número de entradas esperadas pelo Fast Response Content material.”
Além disso, a CrowdStrike disse que planeja aumentar a cobertura de testes durante o desenvolvimento do Tipo de Modelo para incluir casos de teste para critérios de correspondência não curinga para cada campo em todos os (futuros) Tipos de Modelo.
Algumas das atualizações dos sensores também devem resolver as seguintes lacunas:
- O Validador de Conteúdo está sendo modificado para adicionar novas verificações para garantir que o conteúdo em Instâncias de Modelo não inclua critérios de correspondência que correspondam a mais campos do que os fornecidos como entrada para o Interpretador de Conteúdo
- O Validador de Conteúdo está sendo modificado para permitir apenas critérios de correspondência curinga no 21º campo, o que impede o acesso fora dos limites nos sensores que fornecem apenas 20 entradas
- O Sistema de Configuração de Conteúdo foi atualizado com novos procedimentos de teste para garantir que cada nova Instância de Modelo seja testada, independentemente do fato de a Instância de Modelo inicial ser testada com o Tipo de Modelo na criação.
- O Sistema de Configuração de Conteúdo foi atualizado com camadas de implantação adicionais e verificações de aceitação
- A plataforma Falcon foi atualizada para fornecer aos clientes maior controle sobre a entrega de Conteúdo de Resposta Rápida
Por último, mas não menos importante, a CrowdStrike disse que contratou dois fornecedores independentes de segurança de software program de terceiros para conduzir uma revisão mais aprofundada do código do sensor Falcon para segurança e garantia de qualidade. Também está realizando uma revisão independente do processo de qualidade de ponta a ponta, do desenvolvimento à implantação.
A empresa também se comprometeu a trabalhar com a Microsoft à medida que o Home windows introduz novas maneiras de executar funções de segurança no espaço do usuário, em vez de depender de um driver de kernel.
“O driver do kernel do CrowdStrike é carregado em uma fase inicial da inicialização do sistema para permitir que o sensor observe e se defenda contra malware que é iniciado antes do início dos processos do modo de usuário”, disse.
“Fornecer conteúdo de segurança atualizado (por exemplo, o Fast Response Content material da CrowdStrike) para esses recursos do kernel permite que o sensor defenda os sistemas contra um cenário de ameaças em rápida evolução sem fazer alterações no código do kernel. O Fast Response Content material é um dado de configuração; não é um código ou um driver do kernel.”
A divulgação da análise da causa raiz ocorre no momento em que a Delta Air Strains afirma que “não tem escolha” a não ser buscar indenização da CrowdStrike e da Microsoft por causar grandes interrupções e custar cerca de US$ 500 milhões em receitas perdidas e custos extras relacionados a milhares de voos cancelados.
Tanto a CrowdStrike quanto a Microsoft responderam às críticas, afirmando que não são culpadas pela interrupção de vários dias e que a Delta recusou suas ofertas de assistência no native, indicando que os problemas da operadora podem ser muito mais profundos do que a queda de suas máquinas Home windows como resultado da atualização de segurança defeituosa.
