Şirket, CrowdStrike’ın Falcon Sensörleri için Hızlı Tepki İçerik güncellemelerini test etmek ve doğrulamak için güvendiği bir yazılım öğesi olan İçerik Doğrulayıcı’daki bir hatanın, hatalı güncellemenin zamanında fark edilmemesinin (kısmen) nedeni olduğunu söyledi.
19 Temmuz 2024 Cuma günü (yaklaşık) bir saat 20 dakikalık bir sürede, hatalı güncelleme yaklaşık 8,5 milyon sisteme ulaştırıldı ve Windows tabanlı sistemlerde dünya çapında büyük bir kesintiye neden oldu.
CrowdStrike neler olduğunu açıklıyor
Şirket Çarşamba günü, olay sonrası ön incelemesinde, “CrowdStrike, sensörlerimize güvenlik içeriği yapılandırma güncellemelerini iki şekilde sunuyor: Sensörümüzle birlikte doğrudan gönderilen Sensör İçeriği ve operasyonel hızda değişen tehdit ortamına yanıt vermek üzere tasarlanmış Hızlı Tepki İçeriği” açıklamasını yaptı.
Sensör İçeriği “her zaman bir sensör sürümünün parçasıdır ve buluttan dinamik olarak güncellenmez”.
Hızlı Tepki İçeriği – “sensör üzerinde son derece optimize edilmiş bir motor kullanılarak çeşitli davranışsal desen eşleştirme işlemleri gerçekleştirmek için kullanılır” ve tescilli bir ikili dosyada gelir (kod veya çekirdek sürücüsü olarak değil) – Falcon sensörüne içerik yapılandırma güncellemeleri olarak iletilir ve veriler ana bilgisayarın diskine yazılır.
CrowdStrike, Sensör İçeriğinin “Tehdit algılama mühendislerinin Hızlı Müdahale İçeriğinde yararlanabileceği önceden tanımlanmış alanlara sahip” kod olan “Şablon Türleri” kullandığını açıkladı.
“Hızlı Yanıt İçeriği, belirli bir Şablon Türünün örneklemeleri olan ‘Şablon Örnekleri’ olarak sunulur.”
Ne yazık ki, hatalı güncellemedeki sorunlu içerik verileri (yani Şablon Örneği) (aynı zamanda hatalı olan) İçerik Doğrulayıcı tarafından algılanamadı ve üretimde dağıtıldı; bu da ana bilgisayar tarafından “zarifçe işlenemeyen” bir istisnayı tetikleyen sınır dışı bir bellek okumasına neden oldu ve en sonunda mavi ekran ölüm döngüsüyle sonuçlandı.
CrowdStrike güncelleme testlerini ve dağıtım süreçlerini geliştirme konusunda göz kamaştırıyor
İçerik Doğrulayıcı’daki hatanın yanı sıra, CrowdStrike’ın hatalı güncellemeyi yakalayamamasının bahanesi, hatalı Örneğin de kullandığı (nispeten yeni ama zorlu testlerden geçmiş) Şablon Türüne dayalı birkaç Şablon Örneğinin üretimde dağıtılmış ve beklendiği gibi çalışmış olmasıdır.
Şirket, bu tür olayların bir daha yaşanmaması için neler yapmayı planladığını açıkladı:
- Hızlı Yanıt İçeriği için çeşitli test türlerinin uygulanması
- Hızlı Yanıt İçeriği için İçerik Doğrulayıcısına ek doğrulama kontrolleri ekleniyor
- İçerik Yorumlayıcısının hataları nasıl işlediğini iyileştirme
- Hızlı Yanıt İçeriği için kademeli bir dağıtım stratejisinin uygulanması (buna bir Kanarya dağıtımı da dahil olacak) ve çeşitli dağıtım aşamaları gerçekleştiğinde aksaklıkların izlenmesinin iyileştirilmesi
Ancak, aynı derecede önemli olarak, müşterilere Hızlı Yanıt İçeriği güncellemelerinin ne zaman dağıtılacağı konusunda bir miktar kontrol sağlamayı ve onlar için sürüm notları sağlamayı vaat ediyor.
Bazı iyileştirmeler (güncellemelerin kademeli olarak yayınlanması gibi) sağduyulu görünüyor ve bu korumanın daha önce uygulanmamış olması şaşırtıcı. Diğer siber güvenlik/EDR satıcılarının bu olaydan ders çıkarıp kendi güncelleme dağıtım süreçlerini ve korumalarını geliştirmelerini umalım.
Müşteriler ne yapmalı?
Ancak müşteri tarafında da değişikliklere ihtiyaç var.
Güvenlik araştırmacısı Kevin Beaumont, “Siber güvenlik sağlayıcılarından (CrowdStrike’tan değil) gelen çok sayıda LinkedIn gönderisinde, felaket kurtarma özelliğinin olmamasının müşterinin hatası olduğunu iddia eden gönderiler gördüm. Bu açıkça saçmalık ve bu araçların nasıl bir araya getirildiği nedeniyle işe yaramıyor” dedi.
“Biz müşteriler, bize uç nokta araçları satan siber güvenlik tedarikçilerimizden daha fazla şeffaflık talep etmeliyiz.”
(Bu, müşterilerin iş sürekliliği planlarına sahip olmaması ve her türlü duruma hazırlıklı olması gerektiği anlamına gelmiyor.)
Bu hatalı güncellemenin çok sayıda kuruluş ve müşterileri üzerinde yarattığı olumsuz etki, ABD Temsilciler Meclisi İç Güvenlik Komitesi’ni CrowdStrike CEO’su George Kurtz’u kamuoyuna ifade vermeye çağırmaya yöneltti.
Bu arada hem CrowdStrike hem de Microsoft, kuruluşların etkilenen sistemlerinin onarımını hızlandırmalarına yardımcı olacak araçlar ve tavsiyeler sundu ve tehdit aktörlerinin bu karışıklıktan faydalanması konusunda onları uyardı.