💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Наталя ХандусенкоГаряченьке
7 серпня 2024, 15:21
2024-08-07
CrowdStrike розкрила основну причину збоїв глобальної системи
Компанія з кібербезпеки CrowdStrike опублікувала аналіз першопричини збою оновлення програмного забезпечення Falcon Sensor, що вивів із ладу мільйони пристроїв із Windows у всьому світі.
Інцидент Channel File 291 (назва дефектного файлу, що спричинив збій) було простежено до проблеми перевірки вмісту, яка виникла після введення нового типу шаблону для забезпечення видимості та виявлення нових методів атаки, які зловживають іменованими каналами й іншими механізмами міжпроцесної взаємодії (IPC) Windows, повідомляє CrowdStrike.
Зокрема, це пов’язано з проблемним оновленням умісту, розгорнутим у хмарі, описуючи його як «злиття» кількох проблем, які призвели до збою: невідповідність між 21 вхідними даними, переданими до валідатора вмісту через тип шаблону IPC, і 20 даними, переданими інтерпретатору вмісту.
CrowdStrike заявив, що невідповідність параметрів не було виявлено під час «багаторівневого» процесу тестування, частково через використання критеріїв відповідності для 21-го входу під час тестування й у початкових екземплярах шаблону IPC, які були доставлені в період із березня до квітня 2024 року.
Іншими словами, нова версія Channel File 291, представлена 19 липня 2024 року, була першим екземпляром шаблону IPC, який використовував 21-ше поле вхідного параметра. Відсутність конкретного тестового кейсу для критеріїв відповідності, що не є стандартними, у 21-му полі означала, що це не було помічено до того часу, поки вміст швидкого реагування не було відправлено на датчики.
«Датчики, які отримали нову версію Channel File 291 з проблемним вмістом, зіткнулися з прихованою проблемою читання за межами дозволеного в інтерпретаторі контенту, — заявили в компанії. — Під час наступного IPC-повідомлення від операційної системи було оцінено нові екземпляри IPC-шаблону, що передбачало порівняння з 21-м вхідним значенням. Інтерпретатор вмісту очікував лише 20 значень. Тому спроба отримати доступ до 21-го значення призвело до збою системи».
Окрім перевірки кількості полів введення в типі шаблону під час компіляції датчика для розв’язання проблеми, CrowdStrike також додала до інтерпретатора вмісту перевірку меж вхідного масиву під час виконання, щоб запобігти зчитуванню з пам’яті, що виходить за межі, а також виправила кількість входів, передбачених шаблонним типом IPC.
«Додаткова перевірка додає додатковий рівень перевірки під час виконання, щоб розмір вхідного масиву відповідав кількості вхідних даних, що очікується конвеєром швидкого реагування», — йдеться в повідомленні.
Крім того, CrowdStrike повідомив, що планує розширити покриття тестів під час розробки шаблонів, щоби включити тестові кейси для критеріїв відповідності для кожного поля у всіх (майбутніх) шаблонах.
Глобальний збій через оновлення Crowdstrike зачепив понад 80% українських клієнтів — повідомив Chief Technology Officer в iIT Distribution Юрій Гатупов.