CrowdStrike, hatalı Falcon güncellemesi için bir Ön Olay Sonrası İncelemesi (PIR) yayınladı ve bir hatanın kötü verilerin İçerik Doğrulayıcısından geçmesine izin verdiğini ve 19 Temmuz 2024’te milyonlarca Windows sisteminin çökmesine neden olduğunu açıkladı.
Siber güvenlik şirketi, sorunun yeni tehdit tekniklerine ilişkin telemetri toplamak amacıyla yapılan sorunlu bir içerik yapılandırma güncellemesinden kaynaklandığını açıkladı.
İçerik Doğrulayıcıyı geçtikten sonra, güncelleme, altta yatan İşlemler Arası İletişim (IPC) Şablon Türü’nün önceki başarılı dağıtımlarına güvenilmesi nedeniyle ek doğrulamalardan geçmedi. Bu nedenle, Falcon sürüm 7.11 ve üzerini çalıştıran çevrimiçi ana bilgisayarlara ulaşmadan önce yakalanmadı.
Şirket hatayı fark etti ve bir saat içinde güncellemeyi geri aldı.
Ancak o zamana kadar çok geçti. Yaklaşık 8,5 milyon Windows sistemi, hatta daha fazlası, İçerik Yorumlayıcısı yeni yapılandırma güncellemesini işlediğinde sınır dışı bellek okuması yaşadı ve çöktü.
Yetersiz test
CrowdStrike, Falcon sensörünün yazılımın kurulu olduğu cihazlarda şüpheli davranışları tespit etmesini sağlayan IPC Şablon Türleri adı verilen yapılandırma verilerini kullanır.
IPC Şablonları, CrowdStrike’ın ‘Hızlı Tepki İçeriği’ adını verdiği düzenli içerik güncellemeleri aracılığıyla sunulur. Bu içerik, sensörün algılama yeteneklerini ayarlayarak, yapılandırma verilerini değiştirerek tam güncelleme gerektirmeden yeni tehditleri bulur.
Bu durumda CrowdStrike, yaygın C2 çerçevelerinde Adlandırılmış Boruların kötü amaçlı kötüye kullanımını tespit etmek için yeni bir yapılandırmayı zorlamaya çalıştı.
CrowdStrike hedeflediği C2 çerçevelerini özellikle adlandırmamış olsa da bazı araştırmacılar güncellemenin Cobalt Strike’ta yeni adlandırılmış boru özelliklerini tespit etmeye çalıştığına inanıyor. BleepingComputer, Pazartesi günü CrowdStrike ile Cobalt Strike tespitlerinin sorunlara neden olup olmadığı konusunda iletişime geçti ancak bir yanıt alamadı.
Şirkete göre, yeni IPC Şablon Türü ve yeni yapılandırmayı uygulamaktan sorumlu ilgili Şablon Örnekleri, stres testi teknikleri kullanılarak kapsamlı bir şekilde test edildi.
Bu testler kaynak kullanımını, sistem performansı etkisini, olay hacmini ve olumsuz sistem etkileşimlerini içerir.
Şablon Örneklerini denetleyen ve doğrulayan bir bileşen olan İçerik Doğrulayıcı, 5 Mart, 8 Nisan ve 24 Nisan 2024’te gönderilen üç ayrı örneği sorunsuz bir şekilde denetledi ve onayladı.
19 Temmuz’da, İçerik Doğrulayıcı’nın bir hata nedeniyle gözden kaçırdığı hatalı yapılandırmayı içeren biri olmak üzere iki ek IPC Şablon Örneği dağıtıldı.
CrowdStrike, önceki testlerden elde edilen temel güven ve başarılı dağıtımlar nedeniyle dinamik kontroller gibi ek testlerin yapılmadığını, bu nedenle kötü güncellemenin istemcilere ulaştığını ve küresel çapta büyük bir BT kesintisine yol açtığını söylüyor.
Yeni önlemler
CrowdStrike gelecekte benzer olayların yaşanmasını önlemek amacıyla bazı ek önlemler uygulamaya koyuyor.
Firma, Hızlı Yanıt İçeriğini test ederken özellikle şu ek adımları sıraladı:
- Yerel geliştirici testi
- İçerik güncelleme ve geri alma testi
- Stres testi, bulanıklaştırma ve hata enjeksiyonu
- Stabilite testi
- İçerik arayüzü testi
Ayrıca İçerik Doğrulayıcı’ya ek doğrulama kontrolleri eklenecek ve İçerik Yorumlayıcı’daki hata işleme, bu tür hataların Windows bilgisayarlarda çalışmaz hale gelmesini önlemek amacıyla iyileştirilecek.
Hızlı Yanıt İçeriği dağıtımıyla ilgili olarak aşağıdaki değişiklikler planlanmaktadır:
- Küçük bir kanarya dağıtımıyla başlayıp kademeli olarak genişleterek kademeli bir dağıtım stratejisi uygulayın.
- Dağıtımlar sırasında sensör ve sistem performansının izlenmesini iyileştirin ve aşamalı bir dağıtımı yönlendirmek için geri bildirimleri kullanın.
- Müşterilere Hızlı Yanıt İçeriği güncellemelerinin dağıtımı üzerinde daha fazla kontrol sağlayın ve güncellemelerin ne zaman ve nerede dağıtılacağını seçmelerine olanak tanıyın.
- Müşterilerin zamanında bilgi almak için abone olabileceği sürüm notları aracılığıyla içerik güncelleme ayrıntılarını sunun.
Crowdstrike, gelecekte daha detaylı bir kök neden analizi yazısı yayınlayacağına söz verdi ve dahili soruşturma tamamlandıktan sonra daha fazla ayrıntıya ulaşılabilecek.
