.
A CrowdStrike culpou um bug em seu próprio software de teste pelo evento de acidente em massa que ele causou na semana passada.
Uma atualização de quarta-feira em seu guia de correção adicionou uma revisão preliminar pós-incidente (PIR) que oferece a visão do fabricante do antivírus sobre como ele derrubou 8,5 milhões de caixas Windows.
A explicação abre detalhando que o Falcon Sensor da CrowdStrike vem com “conteúdo de sensor” que direciona e define as capacidades do seu mecanismo de detecção de ameaças. O software também é atualizado com “conteúdo de resposta rápida” que permite detectar e lidar com malware emergente e outras atividades indesejadas do sistema. Esse conteúdo de resposta rápida é entregue aos usuários nos arquivos de canal sobre os quais você tem ouvido falar.
O conteúdo do sensor base inclui o que é chamado de “tipos de modelo”, que são blocos de código que podem ser usados pelo conteúdo de resposta rápida para identificar coisas maliciosas em um sistema. Como tal, o conteúdo de resposta rápida é entregue nesses arquivos de canal como as chamadas “instâncias de modelo”, que o CrowdStrike descreve como “instanciações de um determinado tipo de modelo”. Assim, o conteúdo de resposta rápida depende do código de modelo definido pelo conteúdo do sensor base, e cada parte desse conteúdo de resposta é uma instância de modelo.
Em seguida, cada uma dessas instâncias de modelo mapeia comportamentos específicos do sistema para que o software do sensor observe, detecte ou previna.
Em fevereiro de 2024, a CrowdStrike introduziu um novo “tipo de modelo de comunicação entre processos (IPC)” para uso de conteúdo de resposta rápida, que o fornecedor projetou para detectar “novas técnicas de ataque que abusam de Named Pipes”. O tipo de modelo de IPC passou no teste em 5 de março, e uma instância de modelo de resposta rápida foi lançada para usá-lo.
Mais três instâncias de modelo IPC foram implantadas entre 8 e 24 de abril. Todas rodaram sem travar 8,5 milhões de máquinas Windows – embora, como relatamos no início desta semana, máquinas Linux tiveram problemas com CrowdStrike em abril.
Em 19 de julho, a CrowdStrike introduziu mais duas instâncias de modelo IPC. Uma incluía “dados de conteúdo problemáticos”, mas entrou em produção mesmo assim, por causa do que a CrowdStrike descreveu como “um bug no validador de conteúdo”.
A postagem não detalha a função do validador de conteúdo; presumiremos que ele deve fazer o que o nome sugere e provavelmente de maneira automatizada.
O que quer que o validador faça ou deva fazer, ele não impediu o lançamento para os clientes da instância de modelo duvidosa de 19 de julho, apesar de ser um fracasso. Ele deveria ter detectado que a atualização de conteúdo estava quebrada, mas aprovado de qualquer maneira. A CrowdStrike, portanto, assumiu que o lançamento do arquivo de canal de 19 de julho seria OK; os testes, afinal, passaram no tipo de modelo IPC entregue em março e nas instâncias de modelo IPC relacionadas subsequentes.
A história nos diz que essa foi uma suposição muito ruim. Como concluímos em nossa análise anterior da falha, o Falcon carregou e analisou o novo conteúdo e ficou confuso com a instância de modelo quebrada, que “resultou em uma leitura de memória fora dos limites disparando uma exceção” dentro do código de nível de driver do Windows do CrowdStrike, o que derrubaria a caixa inteira.
Na reinicialização, ele inicializaria e travaria tudo de novo. O conjunto Falcon da CrowdStrike roda no nível do sistema operacional para dar a ele boa visibilidade para suas operações de detecção de ameaças. Quando seu interpretador de conteúdo é induzido a acessar a memória, ele não deveria, no entanto, como o que aconteceu aqui, ele tem o potencial de derrubar o sistema operacional e os aplicativos em execução com ele.
“Essa exceção inesperada não pôde ser tratada adequadamente, resultando em uma falha no sistema operacional Windows”, disse a Equipe CrowdStrike.
Em cerca de 8,5 milhões de máquinas.
O relatório de incidente inclui promessas de testar o conteúdo futuro de resposta rápida com mais rigor, escalonar lançamentos, oferecer aos usuários mais controle sobre quando implantá-lo e fornecer notas de lançamento.
Você leu certo: Notas de lançamento. Fique quieto, sua batida heart.txt.
O relatório também inclui uma promessa de divulgar uma análise completa da causa raiz assim que a CrowdStrike concluir sua investigação.
Leve todo o tempo que quiser: alguns de nós ainda estamos ocupados reconstruindo máquinas que você quebrou. ®
.
