CrowdStrike Channel File 291 incidens elemzés
2024. augusztus 6. reggel közzétette a CrowdStrike a 2024. július 19-i, 291-es channel file incidens megállapításait, enyhítéseit és technikai részleteit részletező elemzést (RCA). A vállalat elnézést kért, és elmondta, hogy az incidensből levont tanulságokat felhasználják arra, hogy rugalmasabbá váljanak és jobban kiszolgálják ügyfeleiket. A még érintett ügyfeleknek azt üzente a vállalat, hogy nem nyugszanak, amíg az összes érintett rendszer helyre nem áll.
A CrowdStrike új elemzése a Falcon EDR szenzor összeomlását okozó tényezők kombinációját dokumentálja – a Content Validator által hitelesített és a Content Interpreter számára biztosított bemenetek közötti eltérés, egy out-of-bound olvasási probléma a Content Interpreterben, valamint egy speciális teszt hiánya – és egy fogadalom, hogy együttműködik a Microsofttal a Windows kernel biztonságos és megbízható elérésén.
“Azok az érzékelők, amelyek a problémás tartalmat tartalmazó 291-es channel file új verzióját kapták, a tartalomértelmezőben látens, out-of-bound olvasási problémának voltak kitéve. Az operációs rendszer következő IPC-értesítésénél az új IPC sablonpéldányok kiértékelésre kerültek, megadva a 21. bemeneti értékkel való összehasonlítást. A Content Interpreter csak 20 értéket várt” – magyarázza a CrowdStrike.
“Ezért a 21. érték elérésére tett kísérlet a bemeneti adattömb végét meghaladó, out-of-bound memóriaolvasást eredményezett, ami rendszerösszeomláshoz vezetett” – közölte a vállalat.
A CrowdStrike azt is bejelentette, hogy két független, harmadik féltől származó szoftverbiztonsági szolgáltatót bízott meg a Falcon érzékelő kódjának átfogó biztonsági és minőségbiztosítási felülvizsgálatával. Emellett a vállalatok közölték, hogy folyamatban van a végponttól végpontig tartó minőségi folyamat független felülvizsgálata a fejlesztéstől a telepítésig, különös tekintettel a július 19-től érintett kódra.
