Windows Görev Yöneticisi’ni geliştiren eski Microsoft yazılım mühendisi David William Plummer, CrowdStrike güncellemesinin Windows’un durmasına nasıl yol açabileceğini anlatan bir video yayınladı.
CrowdStrike Falcon’u Windows sunucuları için kötü amaçlı yazılımlara karşı bir yazılım olarak tanımladı ve “yeni saldırıları proaktif olarak tespit ediyor” ve uygulama davranışını analiz ediyor. Bunu yapmak için CrowdStrike’ın bir çekirdek aygıt sürücüsü olarak çalışması gerekiyor.
Çekirdek aygıt sürücüleri genellikle grafik kartları gibi donanımları uygulamalardan soyutlamanın bir yolunu sağlar. Çalıştıklarında genellikle bilgisayara ve işletim sistemine tam erişime sahiptirler ve işletim sistemi terminolojisinde “Ring Zero”da çalıştıkları söylenir. Bu, kullanıcıların “Ring One” olarak bilinen işletim sisteminin kullanıcı alanında çalıştırdığı uygulama kodundan farklıdır.
Plummer’ın belirttiği gibi, fark, bir kullanıcı uygulaması çöktüğünde, bilgisayardaki başka hiçbir şeyin etkilenmemesi gerektiğidir. Ancak, Ring Zero’da çalışan koddaki bir hata o kadar ciddi kabul edilir ki işletim sistemi hemen durur ve bu da Windows’ta sözde Mavi Ölüm Ekranı ile sonuçlanır.
Plummer, “Gerçekten konuştuğu bir donanım aygıtı olmasa bile, kodu bir aygıt sürücüsü olarak yazarak CrowdStrike çekirdek Ring Zero’da yaşıyor ve CrowdStrike’ın işini yapmak için ihtiyaç duyduğuna inandığı sistem veri yapılarına ve hizmetlere tam ve sınırsız erişime sahip oluyor” dedi.
Sertifikalı aygıt sürücüleri
Plummer, Microsoft’un ve muhtemelen CrowdStrike’ın da yazılımların çekirdek modunda kod çalıştırmasının risklerinin farkında olduğunu belirterek şunları ekledi: “Bu nedenle Microsoft, WHQL’yi sunuyor. [Windows Hardware Quality Labs] “Sertifika.”
Plummer’a göre, sertifikasyon, aygıt sürücüsü yazılım sağlayıcılarının kodlarını çeşitli platformlarda ve sistem yapılandırmalarında test etmelerini içeriyor. Kod daha sonra Microsoft tarafından dijital olarak imzalanıyor ve bu da Windows işletim sistemiyle uyumlu olduğunu onaylıyor. Plummer, sertifikasyon sürecinin Windows kullanıcılarının sürücü yazılımının sağlam ve güvenilir olduğundan makul ölçüde emin olabileceği anlamına geldiğini söyledi.
Sertifikasyon, CrowdStrike gibi kötü amaçlı yazılımlara karşı korumanın her yeni tehdit olduğunda yazılım güncellemeleri olarak yayınlanmasını sağlamak için çok yavaştır. Plummer, CrowdStrike’ın genellikle Windows çekirdek sürücüsü tarafından işlenen bir tanım dosyası yayınlamasının daha olası olduğuna inanıyor. Bu, WHQL aygıt sürücüsü sertifikasyon sürecini atlatır ve kullanıcıların en son korumaya erişebilmesi anlamına gelir.
“Belki de sorunu şimdiden görebilirsiniz,” diye ekledi. “Bir an için CrowdStrike dinamik tanımlama dosyasının yalnızca bir kötü amaçlı yazılım tanımı değil, sürücünün daha sonra çalıştırabileceği sözde kodda yazılmış eksiksiz bir program olduğunu varsayalım.”
Bunun, CrowdStrike’tan gelen aygıt sürücüsünün, güncellemenin kendisi hiçbir zaman imzalanmamış olsa bile, tanım dosyasını Ring Zero’daki Windows çekirdeğinde çalışan kod olarak yürütmesine izin vereceğini söyledi. “Yönetici p-kodu [pseudocode] Plummer, “Çekirdekte bulunan bilgi en iyi ihtimalle risklidir, en kötü ihtimalle ise başını belaya sokar” dedi.
Plummer, X’te (eski adıyla Twitter) yayınlanan çökme dökümlerine bakarak, “boş işaretçi referansının” CrowdStrike aygıt sürücüsü tarafından gerçek sözde kod yerine sıfırlar içeren boş bir dosyanın yüklenmesine neden olduğunu söyledi.
“Bunun nasıl veya neden olduğunu bilmiyoruz, ancak bildiğimiz şey, bu güncellemeleri işleyen ve işleyen CrowdStrike sürücüsünün çok dayanıklı olmadığı ve yetersiz hata denetimi ve parametre doğrulaması olduğu” diye ekledi.
Bunlar, yazılım tarafından gerekli olan veri değerlerinin geçerli ve iyi olduğundan emin olmak için gereklidir. Eğer değillerse, hata tüm sistemin çökmesine neden olmamalıdır, dedi Plummer.
İşletim sisteminin başlatılmasını engelleyen sahte çekirdek sürücülerini kaldırabilen Windows’u bilinen son “iyi durumdan” yeniden başlatmak çoğu zaman mümkün olsa da Plummer, CrowdStrike’ın bir önyükleme başlatma sürücüsü olarak işaretlenmiş olması nedeniyle durumun daha da kötüleştiğini, bunun da Windows’un doğru şekilde başlatılması için gerekli olduğu anlamına geldiğini söyledi.
Bunun bir daha asla yaşanmamasını nasıl sağlayacağımızı anlamak için henüz çok erken olsa da, CrowdStrike’ın Windows topluluğunda böylesine yıkıcı bir etkiye sahip olan bir kötü amaçlı yazılım güncelleştirmesini yüklemesine izin veren Microsoft’un WHQL sertifikasında ciddi sınırlamalar olduğu açıktır.