De cybersecuritybedrijf cybersecurityCybersecurityoplossingen zijn essentieel in het digitale tijd… CrowdStrike heeft zijn root cause analyse gepubliceerd over de storing in de update van de Falcon Sensor-software, die miljoenen Windows-apparaten wereldwijd verlamde. Het incident, bekend als het “Kanaalbestand 291”, werd gedetailleerd beschreven in hun Voorlopige Incident Response Review (PIR), waarbij een inhoudsvalidatieprobleem aan het licht kwam dat ontstond na de introductie van een nieuw sjabloontype voor het detecteren van aanvalstechnieken die misbruik maken van named pipes en andere interprocescommunicatie (IPC)-mechanismen van Windows.
De oorzaak van het probleem
De problematische inhoudsupdate, geïmplementeerd in de cloud, werd door CrowdStrike beschreven als een “confluence” van verschillende tekortkomingen. Het meest opvallende probleem was een mismatch tussen de 21 input items die aan de Inhoudsvalidator werden doorgegeven via het IPC sjabloontype en de 20 input items die aan de Inhoudsinterpreter werden geleverd. Deze mismatch werd niet opgemerkt tijdens de “meerdere lagen” van het testproces vanwege het gebruik van wildcard matching-criteria voor het 21e input item.
De versie van het Kanaalbestand 291, uitgebracht op 19 juli 2024, was de eerste die het invoerveld nummer 21 gebruikte, en het gebrek aan een specifieke testcase voor deze wildcardloze matching-criteria betekende dat de fout niet werd ontdekt totdat de snelle response-inhoud naar de sensoren was verzonden.
Impact en oplossing van het probleem
CrowdStrike legde uit dat de sensoren die de nieuwe versie van het Kanaalbestand 291 ontvingen, blootgesteld waren aan een latent out-of-bounds leesprobleem in de Inhoudsinterpreter. Bij de volgende IPC-melding van het besturingssysteem specificeerden de nieuwe IPC sjabloonsinstanties een vergelijking met de 21e inputwaarde, wat leidde tot een geheugentoegang buiten de grenzen en een crash van het systeem.
Om dit probleem op te lossen heeft CrowdStrike verschillende maatregelen geïmplementeerd, inclusief de validatie van het aantal inputvelden in het sjabloontype tijdens de sensorcompilatie en de toevoeging van runtime ingangsmatrix grenscontroles aan de inhoudsinterpreter. Deze maatregelen voorkomen lezen buiten geheugengrenzen en verzekeren de integriteit van het systeem.
Aanvullende verbeteringen en onafhankelijke review
CrowdStrike is ook van plan om de testdekking tijdens de ontwikkeling van het sjabloontype te vergroten, om testcases voor wildcardloze matching-criteria in alle velden van toekomstige sjabloontypen op te nemen. Daarnaast zijn de volgende wijzigingen doorgevoerd:
- De Inhoudsvalidator bevat nu nieuwe checks om ervoor te zorgen dat de inhoud in sjabloonsinstanties de hoeveelheid velden aan de Inhoudsinterpreter niet overschrijdt.
- Het inhoudsconfiguratiesysteem is bijgewerkt met nieuwe testprocedures en extra lagen van implementatie en verificatie.
- Het Falcon-platform is bijgewerkt om klanten meer controle te bieden over de levering van snelle response-inhoud.
CrowdStrike heeft twee onafhankelijke cybersecurity softwareleveranciers ingehuurd om de Falcon-sensorcode en het kwaliteitsproces grondig te beoordelen, van ontwikkeling tot implementatie. Het zal ook samenwerken met Microsoft om nieuwe manieren te onderzoeken om veiligheidsfuncties in gebruikersruimte uit te voeren, in plaats van te vertrouwen op een kernelstuurprogramma.
Repercussies in de industrie
Deze root cause analyse wordt gepubliceerd te midden van aanzienlijke kritiek, waaronder die van Delta Air Lines, die schadevergoeding eist van CrowdStrike en Microsoft voor de massale storingen en de bijkomende kosten die voortvloeien uit duizenden geannuleerde vluchten. Zowel CrowdStrike als Microsoft hebben gereageerd, waarbij ze beweren dat ze niet schuldig zijn aan de verstoring en suggereren dat de problemen van Delta dieper kunnen liggen dan de defecte beveiligingsupdate.
De transparantie van CrowdStrike bij het publiceren van zijn root cause analyse en de geïmplementeerde corrigerende maatregelen benadrukken hun toewijding aan veiligheid en betrouwbaarheid, terwijl ook de aanhoudende uitdagingen in het beheren van beveiligingsupdates in complexe en wereldwijd verspreide systemen worden benadrukt.