La société de cybersécurité CrowdStrike a imputé mercredi un problème dans son système de validation à la cause du crash de millions d’appareils Windows dans le cadre d’une panne généralisée à la fin de la semaine dernière.
« Le vendredi 19 juillet 2024 à 04h09 UTC, dans le cadre des opérations régulières, CrowdStrike a publié une mise à jour de configuration de contenu pour le capteur Windows afin de recueillir des données de télémétrie sur d’éventuelles nouvelles techniques de menace », a déclaré la société. dit dans son rapport préliminaire d’examen post-incident (PIR).
« Ces mises à jour font partie intégrante des mécanismes de protection dynamique de la plateforme Falcon. La mise à jour problématique de la configuration du contenu de réponse rapide a entraîné un blocage du système Windows. »
L’incident a eu un impact sur les hôtes Windows exécutant la version 7.11 et supérieure du capteur qui étaient en ligne entre le 19 juillet 2024, à 04h09 UTC et à 05h27 UTC et qui ont reçu la mise à jour. Les systèmes Apple macOS et Linux n’ont pas été affectés.
CrowdStrike a déclaré qu’il fournit des mises à jour de configuration du contenu de sécurité de deux manières, l’une via le contenu du capteur fourni avec Falcon Sensor et l’autre via le contenu de réponse rapide qui lui permet de signaler de nouvelles menaces à l’aide de diverses techniques de correspondance de modèles comportementaux.
Le crash aurait été causé par une mise à jour du contenu de réponse rapide contenant une erreur non détectée auparavant. Il convient de noter que ces mises à jour sont fournies sous la forme d’instances de modèle correspondant à des comportements spécifiques, qui sont mappés à des types de modèle spécifiques, pour permettre une nouvelle télémétrie et une nouvelle détection.
Les instances de modèles sont à leur tour créées à l’aide d’un système de configuration de contenu, après quoi elles sont déployées sur le capteur via le cloud via un mécanisme appelé fichiers de canal, qui sont finalement écrits sur le disque de la machine Windows. Le système comprend également un composant de validation de contenu qui effectue des contrôles de validation sur le contenu avant sa publication.
« Le contenu de réponse rapide offre une visibilité et des détections sur le capteur sans nécessiter de modifications du code du capteur », explique-t-il.
« Cette capacité est utilisée par les ingénieurs de détection des menaces pour collecter des données de télémétrie, identifier les indicateurs de comportement des adversaires et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, distincte des capacités de prévention et de détection de l’IA sur capteur de CrowdStrike. »
Ces mises à jour sont ensuite analysées par l’interpréteur de contenu du capteur Falcon, qui permet ensuite au moteur de détection de capteur de détecter ou de prévenir toute activité malveillante.
Bien que chaque nouveau type de modèle soit soumis à des tests de résistance pour différents paramètres tels que l’utilisation des ressources et l’impact sur les performances, la cause première du problème, selon CrowdStrike, pourrait être retracée jusqu’au déploiement du type de modèle de communication interprocessus (IPC) le 28 février 2024, qui a été introduit pour signaler les attaques qui tuyaux nommés.
La chronologie des événements est la suivante :
- 28 février 2024 – CrowdStrike publie le capteur 7.11 pour les clients avec un nouveau type de modèle IPC
- 5 mars 2024 – Le type de modèle IPC réussit le test de résistance et est validé pour utilisation
- 5 mars 2024 – L’instance de modèle IPC est publiée en production via le fichier de canal 291
- 8 au 24 avril 2024 – Trois autres instances de modèle IPC sont déployées en production
- 19 juillet 2024 – Deux instances de modèle IPC supplémentaires sont déployées, dont l’une passe la validation malgré des données de contenu problématiques
« Sur la base des tests effectués avant le déploiement initial du type de modèle (le 5 mars 2024), de la confiance dans les contrôles effectués dans le validateur de contenu et des déploiements réussis précédents d’instances de modèle IPC, ces instances ont été déployées en production », a déclaré CrowdStrike.
« Lorsqu’il a été reçu par le capteur et chargé dans l’interpréteur de contenu, le contenu problématique du fichier de canal 291 a entraîné une lecture de mémoire hors limites déclenchant une exception. Cette exception inattendue n’a pas pu être gérée correctement, ce qui a entraîné un blocage du système d’exploitation Windows (BSoD). »
Pour faire face aux perturbations majeures causées par le crash et éviter qu’elles ne se reproduisent, la société basée au Texas a déclaré avoir amélioré ses processus de test et renforcé son mécanisme de gestion des erreurs dans l’interpréteur de contenu. Elle prévoit également de mettre en œuvre une stratégie de déploiement échelonnée pour le contenu à réponse rapide.