Uç Nokta Koruma Platformları (EPP), Uç Nokta Güvenliği, Yönetim ve Risk Yönetimi
Siber Güvenlik Satıcısının Ön İncelemesi Sorunları Ayrıntılarıyla Açıklıyor, İyileştirmeler Vaat Ediyor
Mathew J. Schwartz (euroinfosec) •
24 Temmuz 2024
CrowdStrike, cuma günü dünya çapında kesintiye neden olan hatalı “hızlı içerik güncellemesi”nin önlenememesinin sebebinin hatalı test yazılımı da dahil olmak üzere dahili test başarısızlıkları olduğunu söyledi.
Ayrıca bakınız: Bugün Yeni Windows 11 Pro Cihazlarına Geçmek İçin Dört Neden
Şirket Salı günü, Falcon uç nokta algılama ve yanıt yazılımı için hatalı “Channel File 291″i içeren olayla ilgili ön incelemesini yayınladı.
Tehdit güncelleme verilerini aldıktan sonra, 8,5 milyon çevrimiçi Falcon kullanan Windows ana bilgisayarı “mavi ölüm ekranı” ile çöktü, yeniden başlatıldı ve ardından sonsuz bir çökme ve yeniden başlatma döngüsünde sıkıştı. Falcon kullanan kuruluş türlerini yansıtan kesinti, büyük sağlık, bankacılık, borsa ve medya kuruluşları ile demiryolları ve havayolları da dahil olmak üzere çok sayıda kritik sektörde ciddi kesintilere yol açtı.
CrowdStrike’ın raporu, olayın ne zaman ve ne şekilde gerçekleştiğine dair ayrıntıların yanı sıra şirketin tekrarlanmasını önlemek için atacağı adımları da sunuyor. Şirket ayrıca soruşturmasını tamamladıktan sonra olayla ilgili tam bir “kök neden analizi” yayınlama sözü verdi.
Güvenlik uzmanları CrowdStrike’ın ilk incelemesinde yer alan zamanlamayı ve ayrıntıları selamladı. “İyi ve gerçekten dürüst,” dedi İngiliz siber güvenlik uzmanı Kevin Beaumont.
“Önemli çıkarımlardan biri”nin, CrowdStrike’ın artık her Falcon uç noktasına aynı anda tehdit güncellemeleri dağıtmamak, bunun yerine daha dikkatli, kademeli ve iyi izlenen bir süreçle “akıllı” bir değişime kendini adamış olması olduğunu söyledi.
Microsoft dahil olmak üzere birçok diğer güvenlik yazılımı satıcısı, uç nokta koruma platformu güncellemelerini her istemciye aynı anda göndermiyor. Bunu yapmamak, beklenmedik bir şey olması durumunda ilk dağıtımların kömür madenindeki kanarya görevi görmesine yardımcı olur.
CrowdStrike, arızalı Falcon yapılandırma güncellemesini Cuma günü 04:09 UTC’de yayınladı ve çökmelere yol açtı. Yetmiş sekiz dakika sonra şirket dosyayı “geri aldı”. Bazı sistemler başarıyla yeniden başlatıldı, yeni dosyayı aldı ve kurtarıldı. Çok daha fazla sistem manuel müdahale gerektirdi.
Olay nedeniyle Cuma günü birden fazla havayolu geçici olarak yere indirildi ve yolcular mahsur kaldı. ABD taşıyıcısı Delta özellikle çok sert bir darbe aldı, ancak toparlanıyor. Salı günü havayolu, uçuş takip hizmeti FlightAware’in bildirdiğine göre Pazar günü %36 olan uçuşlarının yalnızca %14’ünü iptal etti.
BT varlık takibi sağlayıcısı Sevco Security, pazartesi günü itibarıyla müşteri tabanında CrowdStrike Falcon yazılımının %93 oranında kurtarıldığını bildirdi.
Hem CrowdStrike hem de Microsoft, süreci otomatikleştirmeye yardımcı olacak araçlar yayınladı; bunların çoğu önyüklenebilir USB sürücülerden çalıştırılmalı ve bu nedenle uzaktan çalışanların düzeltme almak için şirkete gelmeleri gerekiyor.
Salı günü CrowdStrike, hatalı dosyanın CrowdStrike Cloud’un bilinen hatalı dosya listesine eklenmesi şeklinde önizlenmiş bir güncelleme yayınladı, çünkü hatalı dosya muhtemelen erişilmiyor olsa bile hala çok sayıda sistemde bulunuyordu. Güncelleme, US-1, US-2 ve EU bulutlarını kullanan müşteriler için hemen yürürlüğe girdi ve hükümet müşterileri için talep üzerine mevcuttu.
Bu hamleden elde edilen anında olumlu sonuçlardan biri, “güçlü ağ bağlantısına sahip etkilenen sistemler için, bu eylemin önyükleme döngüsündeki sistemlerin otomatik olarak kurtarılmasıyla da sonuçlanabileceği”, çünkü etkilenen sistemlerin güncellemeler için CrowdStrike Cloud ile iletişime geçmeye çalışabileceği ve bozuk dosyanın çıkarılması için talimatlar alabileceği belirtildi.
En iyi uygulama olarak kabul edilen ve bazı düzenlemelerce zorunlu tutulan tam disk şifrelemesini kullanan kuruluşlar için, sistemleri kurtarmak genellikle BitLocker tam disk şifrelemesini açmak için benzersiz bir 48 haneli anahtar girilmesini gerektirir; bu da kurtarma sürecine zaman ve karmaşıklık katar (bkz: CrowdStrike Kesinti Onarımı Zaman Alıyor).
Ön rapor
CrowdStrike, olayla ilgili ön incelemesinde 28 Şubat’ta Falcon sensörüne 7.11 sürümü biçiminde bir güncelleme yayınladığını ve InterProcessCommunication veya IPC şablon türü olarak adlandırdığı şey aracılığıyla tehditleri tespit etmek için yeni işlevler sağladığını söyledi. Bu şablonlar, işletim sistemi süreçlerini ifade eden “adlandırılmış boruları kötüye kullanan yeni saldırı tekniklerini tespit etmek” için tasarlanmıştır.
IPC şablonları “yapılandırma verilerini içeren özel bir ikili dosyada” dağıtılıyor ve CrowdStrike’ın söylediğine göre bu “kod veya çekirdek sürücüsü değil.” Yapılandırma verileri “sensörün gözlemlemesi, algılaması veya engellemesi için belirli davranışlara eşleniyor.”
Şirket, 5 Mart’ta “çeşitli işletim sistemleri ve iş yükleri” kullanarak yeni IPC şablon türünü başarıyla stres testinden geçirdiğini söyledi. Şirket, Nisan ayında kullanıcılara “üretimde beklendiği gibi performans gösteren” üç yeni, ayrı IPC şablonu gönderdi.
Cuma günü tam tersi oldu, Falcon uç noktalarına iki yeni IPC şablonu gönderdiğinde ve şablonlardan biri “sorunlu içerik verileri içermesine rağmen doğrulamayı geçti” dedi. “Sensör tarafından alındığında ve İçerik Yorumlayıcısına yüklendiğinde, Kanal Dosyası 291’deki sorunlu içerik, bir istisnayı tetikleyen sınır dışı bir bellek okumasıyla sonuçlandı. Bu beklenmeyen istisna zarif bir şekilde işlenemedi ve Windows işletim sistemi çökmesine (BSOD) neden oldu.”
Yaklaşan Test ve Dağıtım Değişiklikleri
Şirket, daha kapsamlı ve çeşitli test türlerinden, yazılımındaki İçerik Yorumlayıcısını beklenmedik hataları daha iyi ele alacak şekilde güncellemeye kadar çeşitli yazılım dayanıklılığı ve test iyileştirmeleri sunacağına söz verdi.
CrowdStrike, gelecekteki hızlı yanıt içeriklerinin dağıtımı için “kademeli bir dağıtım stratejisi uygulayacağını” ve “kanarya dağıtımıyla” başlayarak küresel çapta kademeli olarak güncellemeleri dağıtacağını söyledi. Şirket ayrıca müşterilere güncellemeler üzerinde “daha fazla kontrol” sağlayacağını, “ne zaman ve nerede” dağıtılacaklarını da içereceğini ve gelecekteki içerik dağıtımlarını yönlendirmek için toplu “sensör ve sistem performansını” daha yakından izleyeceğini söyledi.
Güvenlik uzmanları, tek bir hatalı CrowdStrike yazılım güncellemesinin etkisinin, yalnızca teknolojiyle değil aynı zamanda bağlantıyla da bağlantılı daha büyük resmi sektör sorunlarını ortaya çıkardığını söylüyor (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).
Beaumont, bir blog yazısında, “Dünya ekonomisinde Tanrı Modu olarak faaliyet gösteren az sayıda siber şirketimiz var” derken, daha ideal senaryoda müşterilerin “siber güvenlik sağlayıcılarına sıfır güven duyması” gerektiğini söyledi.
Yazılımın toplumun pek çok farklı kesiminin güvenli işleyişine olan bağlılığı göz önüne alındığında, “tüm tedarikçilerde daha az riskli davranışların uygulanması için bir yol olması gerekiyor” dedi. “Buna Microsoft’un güvenlik çözümleri de dahil olmalı.”