Siber güvenlik firması CrowdStrike, yakın zamanda yaptığı bir ön Olay Sonrası İnceleme’de (PIR), 19 Temmuz 2024’te yaşanan büyük küresel BT kesintisine yol açan olayların ayrıntılı bir açıklamasını sundu.
Olay, dünya çapında milyonlarca Windows sistemini etkiledi ve Falcon platformunun düzenli operasyonlarının bir parçası olarak yayınlanan sorunlu bir Hızlı Yanıt İçeriği yapılandırma güncellemesinden kaynaklandığı belirlendi.
19 Temmuz 2024 Cuma günü, 04:09 UTC’de CrowdStrike, Windows sensörü için bir içerik yapılandırma güncellemesi yayınladı. Bu güncelleme, olası yeni tehdit teknikleriyle ilgili telemetri toplamayı amaçlıyordu ancak yanlışlıkla sensör sürümü 7.11 ve üzerini çalıştıran Windows sistemlerinin çökmesine neden oldu.
Çökme, etkilenen sistemlerde kötü şöhretli Mavi Ekran Ölümü (BSOD) ile sonuçlandı. Olay, çevrimiçi Windows ana bilgisayarlarıyla sınırlıydı ve güncelleme 04:09 UTC ile 05:27 UTC arasında alındı. Mac ve Linux ana bilgisayarları etkilenmedi.
05:27 UTC itibarıyla CrowdStrike hatayı tespit etti ve sorunlu güncellemeyi geri aldı. Bu saatten sonra çevrimiçi olan veya etkilenen pencere sırasında bağlanmayan sistemler etkilenmedi.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Neler Yanlış Gitti ve Neden?
CrowdStrike’ın Falcon platformu iki tür güvenlik içeriği yapılandırma güncellemesinden yararlanır: Sensör İçeriği Ve Hızlı Yanıt İçeriği.
Sensör İçeriği sensör sürümünün bir parçası olan ve otomatik ve manuel testler de dahil olmak üzere kapsamlı kalite güvence süreçlerinden geçen sensör üstü AI ve makine öğrenimi modellerini içerir. Bu güncellemeler buluttan dinamik olarak güncellenmez ve müşteriler tarafından Sensör Güncelleme Politikaları aracılığıyla kontrol edilir.
Hızlı Yanıt İçeriğiÖte yandan, ortaya çıkan tehditlere hızlı bir şekilde yanıt vermek üzere tasarlanmıştır ve dinamik olarak güncellenir. Davranışsal desen eşleştirme işlemlerini içerir ve sensörün çalışma zamanı davranışını yapılandıran Şablon Örnekleri olarak sunulur.
19 Temmuz 2024’teki sorun, algılanamayan bir hata içeren Hızlı Yanıt İçeriği güncellemesinden kaynaklandı. Özellikle, İçerik Doğrulayıcı’daki bir hata, sorunlu bir Şablon Örneğinin doğrulamayı geçmesine ve dağıtılmasına izin verdi. Sensör bu örneği aldığında, sınır dışı bir bellek okumasına neden oldu ve bu da sistem çökmesine yol açtı.
Olayların Zaman Çizelgesi
- 28 Şubat 2024: Adlandırılmış Boruları kullanan saldırıları tespit etmek için yeni bir IPC Şablon Türü sunan Sensör sürüm 7.11 yayınlandı.
- 05 Mart 2024:IPC Şablon Tipi stres testlerini geçti ve kullanıma uygun olduğu doğrulandı.
- 05 Mart – 24 Nisan 2024:Birkaç IPC Şablon Örneği başarıyla dağıtıldı.
- 19 Temmuz 2024:İki ek IPC Şablon Örneği dağıtıldı; bunlardan biri doğrulama hatası nedeniyle sorunlu içerik verileri içeriyordu.
Olay, bankacılık, sağlık ve acil servisler gibi kritik sektörler de dahil olmak üzere küresel olarak 8,5 milyondan fazla Windows kullanıcısını etkileyerek yaygın bir etki yarattı. CrowdStrike’ın hisseleri yaklaşık %30 düştü ve şirket müşteriler ve düzenleyici kurumlar tarafından önemli bir incelemeye tabi tutuldu.
CrowdStrike o zamandan beri gelecekte benzer olayları önlemek için çeşitli önlemler uyguladı. Bunlar şunları içerir:
- İçerik Doğrulayıcıyı ek kontrollerle geliştirmek.
- Yerel geliştirici testi, geri alma testi, stres testi ve hata enjeksiyon teknikleri dahil olmak üzere Hızlı Yanıt İçeriği için test mekanizmalarını iyileştirmek.
- Tam dağıtıma geçmeden önce güncellemeleri daha küçük ölçekte test etmek için kanarya dağıtımı olarak bilinen kademeli bir dağıtım stratejisinin uygulanması.
- Müşterilere içerik güncelleme teslimatı ve ayrıntılı sürüm notları üzerinde daha fazla kontrol sağlama.
CrowdStrike CEO’sunun açıklaması
CrowdStrike’ın Kurucusu ve CEO’su George Kurtz, etkilenen tüm müşterilerden ve ortaklardan özür diledi ve şirketin şeffaflık ve sürekli iyileştirmeye olan bağlılığını vurguladı. Falcon platformunun temel sistemlerinin tehlikeye atılmadığını ve şirketin müşteri sistemlerini geri yüklemek ve gelecekteki kesintileri önlemek için tam olarak harekete geçtiğini temin etti.
CrowdStrike’ın ayrıntılı PIR raporu, 19 Temmuz 2024 olayının arkasındaki teknik nedenleri açıklıyor ve Hızlı Yanıt İçeriği güncellemelerinin güvenilirliğini ve güvenliğini artırmak için atılan adımları ana hatlarıyla açıklıyor.
Yakında yayınlanacak olan Kök Neden Analizi, CrowdStrike’ın hizmetlerinin istikrarını ve güvenliğini sağlamak için daha fazla içgörü ve öneri sunacaktır.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo