https://www.crowdstrike.com/blog/technic...ys-outage/
Kas notika?
2024. gada 19. jūlijā plkst. 04:09 UTC notiekošo darbību ietvaros CrowdStrike izlaida sensoru konfigurācijas atjauninājumu Windows sistēmām. Sensoru konfigurācijas atjauninājumi ir nepārtraukta Falcon platformas aizsardzības mehānismu daļa. Šis konfigurācijas atjauninājums izraisīja loģikas kļūdu, kas izraisīja sistēmas avāriju un zilo ekrānu (BSOD) ietekmētajās sistēmās.
Sensora konfigurācijas atjauninājums, kas izraisīja sistēmas avāriju, tika novērsts piektdien, 2024. gada 19. jūlijā, plkst. 5:27 UTC.
Šī problēma nav kiberuzbrukuma rezultāts vai saistīta ar to.
Ietekme
Var tikt ietekmēti klienti, kuri izmanto Falcon sensoru operētājsistēmai Windows 7.11 un jaunākai versijai un kuri bija tiešsaistē no piektdienas, 2024. gada 19. jūlija plkst. 4:09 UTC līdz piektdienai, 2024. gada 19. jūlijam plkst. 5:27 UTC.
Sistēmas, kurās darbojas Falcon sensor operētājsistēmai Windows 7.11 un jaunākai versijai, kas lejupielādēja atjaunināto konfigurāciju no 04:09 UTC līdz 05:27 UTC, bija jutīgas pret sistēmas avāriju.
Konfigurācijas faila primer
Iepriekš minētie konfigurācijas faili tiek saukti par “
kanālu failiem ”, un tie ir daļa no Falcon sensora izmantotajiem uzvedības aizsardzības mehānismiem. Kanālu failu atjauninājumi ir normāla sensora darbības daļa, un tie notiek vairākas reizes dienā, reaģējot uz CrowdStrike atklātajām jaunajām taktikām, paņēmieniem un procedūrām. Tas nav jauns process; arhitektūra ir bijusi vietā kopš Falcon pirmsākumiem.
Tehniskas detaļas
Windows sistēmās kanālu faili atrodas šādā direktorijā:
Kods:
C:\Windows\System32\drivers\CrowdStrike\
un tam ir faila nosaukums, kas sākas ar “
”. Katram kanāla failam ir piešķirts numurs kā unikāls identifikators. Šajā notikumā ietekmētais kanāla fails ir 291, un tam būs faila nosaukums, kas sākas ar “
” un beidzas ar
paplašinājumu. Lai gan kanālu faili beidzas ar SYS paplašinājumu,
tie nav kodola draiveri .
Kanāla fails 291 kontrolē, kā Falcon novērtē nosauktās caurules 1 izpildi Windows sistēmās. Nosauktās caurules tiek izmantotas parastai, starpprocesu vai starpsistēmu komunikācijai sistēmā Windows.
Atjauninājums, kas tika veikts plkst. 04:09 UTC, tika izstrādāts, lai mērķētu uz tikko novērotām, ļaunprātīgiem nosaukumiem, ko parasti izmanto C2 sistēmas kiberuzbrukumos. Konfigurācijas atjauninājums izraisīja loģikas kļūdu, kas izraisīja operētājsistēmas avāriju.
Kanāla fails 291
CrowdStrike ir izlabojis loģikas kļūdu, atjauninot 291. kanāla faila saturu. 291. kanāla failā netiks izvietotas nekādas papildu izmaiņas, kas pārsniedz atjaunināto loģiku. Falcon joprojām izvērtē un aizsargā pret nosaukto cauruļu ļaunprātīgu izmantošanu.
Tas nav saistīts ar nulles baitiem, kas atrodas kanāla failā 291 vai jebkurā citā kanāla failā.
Sanācija
Visjaunākos sanācijas ieteikumus un informāciju var atrast mūsu
emuārā vai
atbalsta portālā .
Mēs saprotam, ka dažiem klientiem var būt īpašas atbalsta vajadzības, un lūdzam viņus sazināties ar mums tieši.
Sistēmas, kuras pašlaik netiek ietekmētas, turpinās darboties, kā paredzēts, turpinās nodrošināt aizsardzību, un tām nav riska piedzīvot šo notikumu nākotnē.
Sistēmās, kurās darbojas Linux vai macOS, netiek izmantots kanāla fails 291, un tās netika ietekmētas.
Pamatcēloņu analīze
Mēs saprotam, kā šī problēma radās, un veicam rūpīgu pamatcēloņa analīzi, lai noteiktu, kā radās šī loģikas kļūda. Šie centieni turpināsies. Mēs esam apņēmušies noteikt visus pamata vai darbplūsmas uzlabojumus, ko varam veikt, lai stiprinātu mūsu procesu. Izmeklēšanas gaitā mēs atjaunināsim savus konstatējumus pamatcēloņu analīzē.
1
https://learn.microsoft.com/en-us/window...amed-pipes
"Kā cilvēks, kam trūkst pašcieņas, nav dīdzējs, bet nīcējs, tā arī tauta, kurai nav pašapziņas." K.Mīlenbahs
