Windows için yeni tehdit tekniklerine ilişkin telemetri toplamayı amaçlayan CrowdStrike’ın Falcon sensörüne yönelik hatalı bir “güvenlik içeriği yapılandırma güncellemesi”nin, sorunun temel nedeni olduğu doğrulandı. dünya çapında çöken bilgisayarlar geçen cuma ve küresel BT ekipleri üzerinde hala etkisi vardiyor satıcı.
Geçtiğimiz hafta yanlış sebeplerden dolayı ilgi odağı haline gelen CrowdStrike, bugün yayınladığı “Ön Olay Sonrası İnceleme (PIR)” raporunda, küresel çapta yaşanan olayın nedeninin Hızlı Müdahale İçeriği yapılandırma güncellemesindeki bir kusur olduğunu tespit etti. Olay, iş sürekliliğinde büyük kesintilere ve yolcular, hastane hastaları ve iş profesyonelleri için baş ağrılarına neden oldu.
Bu tür güncellemeler, uç nokta algılama ve yanıt (EDR) için bulut tabanlı yazılımları yaklaşık 29.000 müşteriye sağlayan CrowdStrike’ın yazılımına yeni güvenlik içeriği sunma yollarından biridir ve “Falcon platformunun dinamik koruma mekanizmalarının düzenli bir parçasıdır”. PIR raporunaRaporda, Rapid Response Content’in CrowdStrike’ın yazılımını, “değişen tehdit ortamına operasyonel hızda yanıt vermek üzere” tasarlanmış en son tehdit istihbaratıyla güncellediği belirtiliyor.
CrowdStrike’a göre, “Sensör tarafından alındığında ve İçerik Yorumlayıcısına yüklendiğinde, Kanal Dosyası 291’deki sorunlu içerik, bir istisnayı tetikleyen sınır dışı bir bellek okumasıyla sonuçlandı.” “Bu beklenmeyen istisna zarif bir şekilde işlenemedi ve Windows işletim sistemi çökmesine (BSOD) neden oldu.”
CrowdStrike ayrıca raporun yayınlanmasını şu şekilde kullandı: sosyal medyaya taşı Birçok kuruluşun yaşadığı kesintiden dolayı bir kez daha özür dilemek hala hafifletme sürecindeyiz.
Şirket, X’te “Yeterince tekrar edemeyiz, etkinin farkındayız ve bunun meydana gelmesinden dolayı derinden üzgünüz,” diye yazdı. “Hatalı bir içerik güncellemesinin yayınlanmasının ardından müşterilerimize ve sektör ortaklarımıza destekleri ve yardımları için teşekkür etmek istiyoruz. Ne olduğunu ve bunun bir daha olmamasını nasıl sağlayacağımızı biliyoruz.”
Dünya Çapında Duyulan Güncelleme
Raporda, Cuma günkü olaya kadar geçen süreç ve hemen sonrasında yaşananlar adım adım anlatılırken, şirketin aynı olayın tekrar yaşanmasını önlemek için konuya nasıl yanıt verdiğine de yer verildi.
CrowdStrike, Falcon sensöründe davranışsal desen eşleştirme işlemlerini gerçekleştirmek için Rapid Response Content kullanır; içeriğin kendisi, ilişkili filtrelemeyle birlikte alanların ve değerlerin bir temsilidir. İçerik, yapılandırma verilerini içeren tescilli bir ikili dosyada saklanır.
Sensör güncellenirken içerik, her biri sensörün gözlemlemesi, algılaması veya engellemesi için belirli davranışlara eşlenen Şablon Örnekleri olarak adlandırılanlar olarak sunulur. Örnekler, istenen davranışla eşleşecek şekilde yapılandırılabilen bir dizi alana sahiptir.
CrowdStrike gönderisinde, “Başka bir deyişle, Şablon Türleri yeni telemetri ve algılamaya olanak tanıyan bir sensör yeteneğini temsil eder ve çalışma zamanı davranışları Şablon Örneği tarafından dinamik olarak yapılandırılır” şeklinde açıklama yaptı.
Olayda yer alan sensör 7.11, 28 Şubat’ta müşterilerin üretim ortamlarına yerleştirilerek, bilişimde süreçler arası iletişim yöntemi olan Adlandırılmış Boruları (Named Pipes) kötüye kullanan yeni saldırı tekniklerini tespit etmek için yeni bir IPC Şablon Türü sunuldu.
CrowdStrike, 5 Mart’ta sahneleme ortamında şablonun bir stres testini gerçekleştirdi ve bu testten geçti ve böylece kullanım için doğrulandı ve ardından içerik yapılandırma güncellemesinin bir parçası olarak üretime sunuldu. Şirket daha sonra 8 Nisan ile 24 Nisan arasında “üretimde beklendiği gibi performans gösteren” üç ek IPC Şablon Örneği dağıttı.
Hiçbir şeyin ters gitmediğini varsayarak, CrowdStrike Cuma günü iki IPC Şablon Örneği daha dağıttı. Ancak, şirketin bilmediği bir şekilde, iki Şablon Örneğinden biri İçerik Doğrulayıcı’daki bir hata nedeniyle “sorunlu içerik verileri içermesine rağmen” doğrulamayı geçti, dedi şirket. Bu içerik, daha sonra küresel Windows çökmesine yol açan istisnai davranışı tetikledi.
CrowdStrike Müdahalesi ve Azaltma Devam Ediyor
CrowdStrike sıcak koltukta kalmaya devam ediyor – şirketin CEO’su George Kurtz’un olayla ilgili olarak Kongre’de ifade vermeye çağrılmasıyla tam anlamıyla – ve yapılacak önemli iş Beyond Blue Genel Müdürü David Ferbrache, olayın ardından itibarını kurtarmak için harekete geçtiğini belirtiyor.
“Geçtiğimiz Cuma gününe kadar, güvenlik ve teknoloji sektörleri dışında çok az kişi CrowdStrike’ı duymuştu; şimdi, şirket tüketicilerin ve iş liderlerinin sohbetlerine dahil oldu,” diye gözlemliyor. “Dijital dünyayı korumak için işe alınan bir şirket, tek bir eylemle 8,5 milyondan fazla makineyi nasıl çökertebilir?”
Kötü bir güncellemeyle küresel BT altyapısını yakmanın bir güvenlik firması için iyi bir görüntü olmadığının açıkça farkında olan CrowdStrike, Hızlı Yanıt İçeriği güncellemeleri etrafında test ve dağıtımı iyileştirmek için aldığı önlemleri özetledi.
Birincisi, gelecekte güncellemeleri dağıtmadan önce menüsüne çeşitli yeni testler eklemeyi planlıyor. Bunlar arasında yerel geliştirici testleri; içerik güncelleme ve geri alma kontrolleri; stres testleri ve bulanıklaştırma; hata enjeksiyonu, kararlılık ve içerik arayüzü testleri yer alıyor.
Şirket ayrıca CrowdStrike’ın, “gelecekte bu tür sorunlu içeriklerin dağıtılmasını önlemek için” Hızlı Yanıt İçeriği için İçerik Doğrulayıcısına yeni doğrulama kontrolleri ekleyeceğini ve İçerik Yorumlayıcısındaki mevcut hata işlemeyi geliştireceğini söyledi.
Şirket ayrıca içerik güncellemelerinin dağıtımında da değişiklikler yapacak, süreci kademeli olarak sensör tabanının daha büyük bölümlerine dağıtılacak şekilde düzenleyecek, “bir kanarya dağıtımıyla başlayacak.” Ayrıca, dağıtım sırasında geri bildirim toplamak ve “aşamalı bir dağıtımı yönlendirmek” için hem sensör hem de sistem performansı için izlemeyi iyileştirecek.
Dahası ve belki de en önemlisi, Ferbrache’e göre CrowdStrike, bu güncellemelerin ne zaman ve nerede dağıtılacağına dair ayrıntılı seçim olanağı sunarak ve abonelik yoluyla yayın notları aracılığıyla içerik güncelleme ayrıntılarını sağlayarak müşterilere gelecekteki içerik güncellemelerinin dağıtımı üzerinde daha fazla kontrol sağlayacak.
Bu, canlı üretim ortamlarında hızlı otomatik güncellemelerle birlikte gelen içsel riski azaltmaya yardımcı olabilir ve kuruluşlara bu güncellemelerin nasıl uygulanacağını kontrol etme yeteneği verebilir. Ayrıca, bir güncellemeyi erteleme ve potansiyel bir güvenlik açığı bırakma riskini, anında uygulama riskine karşı dengelemelerine olanak tanır, diyor Ferbrache.
“Bu ince bir denge ve deneyimli müşterilerin bu dengeyi sağlayabilmesi gerekiyor” diyor.