Siber güvenlik devi CrowdStrike, 19 Temmuz 2024’te sorunlu bir Falcon sensör güncellemesine yol açan olayları ayrıntılı olarak açıklayan kapsamlı bir teknik temel neden analizi yayınladı. Olay, bazı Windows kullanıcılarında sistem çökmelerine neden oldu ve şirketten hızlı bir yanıt aldı.
Soruşturma, sorunun CrowdStrike’ın Hızlı Yanıt İçerik dağıtım sistemindeki faktörlerin karmaşık etkileşiminden kaynaklandığını gösteriyor.
Sorunun temelinde, sensörün İçerik Yorumlayıcısı tarafından beklenen giriş alanı sayısı ile Şubat 2024’te tanıtılan yeni Şablon Türü tarafından sağlanan alan sayısı arasındaki uyumsuzluk yatıyordu.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Rapora göre, IPC (İşlemlerarası İletişim) Şablon Türü 21 giriş alanı bekleyecek şekilde tasarlanmıştı, ancak sensör kodu yalnızca 20 girdi alanı sağladı. Bu tutarsızlık, ilk dağıtımlar sırasında 21. alanda joker karakter eşleştirme ölçütlerinin kullanılması nedeniyle, kısmen geliştirme ve test aşamalarında tespit edilemedi.
Sorun, 19 Temmuz’da Kanal Dosyası 291’in yeni bir sürümünün dağıtılmasıyla meydana geldi ve 21. giriş parametresi için joker olmayan bir eşleştirme ölçütü getirildi. Bu, etkilenen sensörlerde sınır dışı bir bellek okumasını tetikledi ve sistem çökmelerine neden oldu.
CrowdStrike birkaç önemli bulguyu ve bunlara karşılık gelen hafifletici önlemleri özetledi:
- Şablon türü giriş alanları için derleme zamanı doğrulamasının uygulanması
- İçerik Yorumlayıcısında çalışma zamanı dizi sınırları denetimlerinin eklenmesi
- Şablon Türü testinin daha geniş çeşitlilikte eşleştirme ölçütlerini kapsayacak şekilde genişletilmesi
- İçerik Doğrulayıcıdaki bir mantık hatasının düzeltilmesi
- Şablon Örnekleri için aşamalı dağıtımın tanıtımı
- Hızlı Yanıt İçeriği güncellemeleri üzerinde müşteri kontrolünün sağlanması
Şirket, Falcon sensör kodunun ve uçtan uca kalite sürecinin daha ayrıntılı incelemelerini yapmak üzere iki bağımsız üçüncü taraf yazılım güvenliği tedarikçisiyle anlaştı.
CrowdStrike, 29 Temmuz itibarıyla Windows sensörlerinin yaklaşık %99’unun olay öncesi seviyelere kıyasla tekrar çevrimiçi olduğunu vurguladı. Sorunu ele alan bir sensör yazılımı düzeltmesinin 9 Ağustos 2024’e kadar genel kullanıma sunulması planlanıyor.
CrowdStrike, Falcon sensör kodunun hem güvenlik hem de kalite güvencesi açısından daha ayrıntılı incelenmesi için iki bağımsız üçüncü taraf yazılım güvenlik şirketini işe aldı.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide