Siber güvenlik firması CrowdStrike, Çarşamba günü, geçen hafta sonu yaşanan yaygın kesintinin bir parçası olarak milyonlarca Windows cihazının çökmesine neden olan sorunun kendi doğrulama sistemindeki bir sorundan kaynaklandığını açıkladı.
Şirket, Olay Sonrası Ön İnceleme (PIR) raporunda, “19 Temmuz 2024 Cuma günü, saat 04:09 UTC’de, normal operasyonların bir parçası olarak CrowdStrike, olası yeni tehdit tekniklerine ilişkin telemetri toplamak amacıyla Windows sensörü için bir içerik yapılandırma güncellemesi yayınladı” dedi.
“Bu güncellemeler Falcon platformunun dinamik koruma mekanizmalarının düzenli bir parçasıdır. Sorunlu Hızlı Tepki İçeriği yapılandırma güncellemesi Windows sisteminin çökmesine neden oldu.”
Olay, 19 Temmuz 2024, 04:09 UTC ile 05:27 UTC arasında çevrimiçi olan ve güncellemeyi alan sensör sürümü 7.11 ve üzerini çalıştıran Windows ana bilgisayarlarını etkiledi. Apple macOS ve Linux sistemleri etkilenmedi.
CrowdStrike, güvenlik içeriği yapılandırma güncellemelerini iki şekilde sunduğunu söylüyor: Birincisi Falcon Sensor ile birlikte gelen Sensor Content aracılığıyla, ikincisi ise çeşitli davranış kalıbı eşleştirme tekniklerini kullanarak yeni tehditleri işaretlemesine olanak tanıyan Rapid Response Content aracılığıyla.
Çökmenin, daha önce tespit edilemeyen bir hata içeren Hızlı Tepki İçeriği güncellemesinin sonucu olduğu söyleniyor. Bu tür güncellemelerin, yeni telemetri ve tespite olanak sağlamak için belirli Şablon Türlerine eşlenen belirli davranışlara karşılık gelen Şablon Örnekleri biçiminde sunulduğunu belirtmekte fayda var.
Şablon Örnekleri, sırasıyla, bir İçerik Yapılandırma Sistemi kullanılarak oluşturulur ve ardından bulut üzerinden sensöre, Kanal Dosyaları adı verilen bir mekanizma aracılığıyla dağıtılır ve bunlar en sonunda Windows makinesindeki diske yazılır. Sistem ayrıca, yayınlanmadan önce içerik üzerinde doğrulama kontrolleri gerçekleştiren bir İçerik Doğrulayıcı bileşenini de kapsar.
“Hızlı Tepki İçeriği, sensör kodunda değişiklik gerektirmeden sensör üzerinde görünürlük ve tespitler sağlıyor” açıklaması yapıldı.
“Bu yetenek, tehdit tespit mühendisleri tarafından telemetri toplamak, düşman davranışının göstergelerini belirlemek ve tespitler ve önlemler gerçekleştirmek için kullanılır. Hızlı Tepki İçeriği, CrowdStrike’ın sensör üzerindeki AI önleme ve tespit yeteneklerinden ayrı ve farklı olan davranışsal buluşlardır.”
Bu güncellemeler daha sonra Falcon sensörünün İçerik Yorumlayıcısı tarafından ayrıştırılır ve bu da Sensör Algılama Motorunun kötü amaçlı faaliyetleri algılamasını veya engellemesini kolaylaştırır.
Her yeni Şablon Türü kaynak kullanımı ve performans etkisi gibi farklı parametreler açısından stres testine tabi tutulurken, CrowdStrike’a göre sorunun temel nedeni, boruları adlandıran saldırıları işaretlemek için tanıtılan 28 Şubat 2024’teki İşlemlerarası İletişim (IPC) Şablon Türünün kullanıma sunulmasına kadar uzanıyor.
Olayların zaman çizelgesi şu şekildedir:
- 28 Şubat 2024 – CrowdStrike, müşterilerine yeni IPC Şablon Türüyle 7.11 sensörünü sunuyor
- 5 Mart 2024 – IPC Şablon Türü stres testini geçer ve kullanım için doğrulanır
- 5 Mart 2024 – IPC Şablon Örneği, Kanal Dosyası 291 aracılığıyla üretime sunulur
- 8 – 24 Nisan 2024 – Üretimde üç adet daha IPC Şablon Örneği dağıtıldı
- 19 Temmuz 2024 – İki ek IPC Şablon Örneği dağıtıldı, bunlardan biri sorunlu içerik verilerine sahip olmasına rağmen doğrulamayı geçti
CrowdStrike, “Şablon Türünün ilk dağıtımından önce (05 Mart 2024) gerçekleştirilen testlere, İçerik Doğrulayıcı’da gerçekleştirilen kontrollerdeki güvene ve daha önceki başarılı IPC Şablon Örneği dağıtımlarına dayanarak, bu örnekler üretime dağıtıldı” dedi.
“Sensör tarafından alındığında ve İçerik Yorumlayıcısına yüklendiğinde, Kanal Dosyası 291’deki sorunlu içerik, bir istisnayı tetikleyen sınır dışı bir bellek okumasıyla sonuçlandı. Bu beklenmeyen istisna zarif bir şekilde işlenemedi ve Windows işletim sistemi çökmesine (BSoD) neden oldu.”
Çökmenin neden olduğu kapsamlı kesintilere yanıt olarak ve bunların tekrar olmasını engellemek için Teksas merkezli şirket, test süreçlerini iyileştirdiğini ve İçerik Yorumlayıcısı’ndaki hata işleme mekanizmasını geliştirdiğini söyledi. Ayrıca Hızlı Yanıt İçeriği için kademeli bir dağıtım stratejisi uygulamayı planlıyor.