19 Temmuz 2024’te, CrowdStrike tarafından yollanan ve dünya çapında bilgisayar sistemlerini etkileyerek kesintilere sebebiyet veren güncelleme birçok BT sisteminde sorunlara yol açtı. Kısa süre içinde CrowdStrike “Channel File 291” adında bir kök neden analizi yayınladı.
Giriş
Bu belge, Crowdstrike’ın Kök Neden Analizi (RCA) raporunun bulgularının yönetici bir özetini sunmaktadır. Raporun tamamı, Olay Sonrası Ön İncelememizde (PIR) daha önce paylaşılan bilgileri detaylandırarak, olayın bulguları, hafifletmeleri, teknik detayları ve temel neden analizi hakkında daha fazla derinlik sağlar.
CrowdStrike, müşterileri günümüzün düşmanlarına karşı korumak ve ihlalleri durdurmak misyonuyla kurulmuştur. 19 Temmuz 2024 tarihinde, düzenli operasyonların bir parçası olarak CrowdStrike, Windows sensörü için sistem çökmesine neden olan bir içerik yapılandırma güncellemesi (channel dosyaları aracılığıyla) yayınladı. Tüm samimiyetimizle özür dileriz.
Ekiplerimizle birlikte çalışarak sistemleri geri yüklemek ve birçoğunu saatler içinde tekrar çevrimiçi hale getirmek için hemen harekete geçen müşterilerimizin ve ortaklarımızın gece gündüz gösterdikleri inanılmaz çabaları takdirle karşılıyoruz. 29 Temmuz 2024, saat 20:00 EDT itibariyle, Windows sensörlerinin %99’u içerik güncellemesi öncesine kıyasla çevrimiçi durumdaydı. Sensör bağlantılarında genellikle haftadan haftaya %1’lik bir değişiklik görüyoruz. Hala etkilenen müşterilerimiz için, tüm sistemler eski haline dönene kadar rahat etmeyeceğimizi bilmenizi isteriz.
Neler Oldu?
CrowdStrike Falcon sensörü, en son gelişmiş tehditleri tanımlayarak ve düzelterek müşteri sistemlerini korumak için yapay zeka ve makine öğrenimi sunar. Şubat 2024’te CrowdStrike, belirli Windows mekanizmalarını kötüye kullanabilecek olası yeni saldırı tekniklerine görünürlük sağlamak için yeni bir algılayıcı özelliği sundu. Bu yetenek, Hızlı Yanıt İçeriğinin veri toplaması için bir dizi alanı önceden tanımladı. kök neden analizinde belirtildiği gibi, bu yeni sensör özelliği standart yazılım geliştirme süreçlerimize göre geliştirilmiş ve test edilmiştir.
Başarılı bir stres testinin ardından 5 Mart 2024 tarihinde, Channel Dosyası 291 için ilk Hızlı Yanıt İçeriği, bir içerik yapılandırma güncellemesinin parçası olarak üretime sunuldu ve 8 Nisan 2024 ile 24 Nisan 2024 tarihleri arasında üç Hızlı Yanıt güncellemesi daha dağıtıldı. Bunlar üretimde beklendiği gibi performans gösterdi.
19 Temmuz 2024’te belirli Windows ana bilgisayarlarına, ilk olarak Şubat 2024’te yayınlanan yeni özelliği geliştiren bir Hızlı Yanıt İçerik güncellemesi gönderildi. Sensör 20 giriş alanı beklerken güncelleme 21 giriş alanı sağladı. Bundan dolayı uyumsuzluk sınırların dışında bir bellek okumasına neden olarak sistemin çökmesine yol açtı. Üçüncü taraf bir inceleme ile birlikte yaptığımız analiz, bu hatanın bir tehdit aktörü tarafından istismar edilemeyeceğini doğruladı.
Ne Yaptık ve Sırada Ne Var?
Kök neden analizindeki bulgulara dayanarak, CrowdStrike’ın aldığı ve ileride alacağı bazı önlemler şunlardır:
İçerik Yapılandırma Sistemi test prosedürlerini güncelleyin. Bu çalışma tamamlanmıştır. Bu, tüm mevcut Şablon Türleri için otomatik testlerle birlikte Şablon Türü geliştirme için yükseltilmiş testleri de içerir. Şablon Türleri sensörün bir parçasıdır ve tehdit algılama mühendislerinin Hızlı Yanıt İçeriğinde yararlanmaları için önceden tanımlanmış alanlar içerir.
İçerik Yapılandırma Sistemi için ek dağıtım katmanları ve kabul kontrolleri ekleyin. Bu çalışma, güncellenmiş bir dağıtım halkası süreci ile tamamlandı ve Şablon Örneklerinin üretime sunulmadan önce birbirini izleyen dağıtım halkalarını geçmesi sağlandı.
Müşterilere Hızlı Yanıt İçeriği güncellemelerinin dağıtımı üzerinde ek kontrol sağlayın. Müşterilerin Hızlı Yanıt İçeriğinin nasıl dağıtılacağını kontrol etmesine olanak tanıyan yeni özellikler uygulandı ve bulutumuza dağıtıldı, gelecekte ek işlevler planlandı.
Sorunlu Channel 291 dosyalarının oluşturulmasını önleyin. Bu sorunun oluşmasını önlemek için giriş alanlarının sayısı için doğrulama uygulandı.
İçerik Doğrulayıcıda ek kontroller uygulayın. Ek kontrollerin 19 Ağustos 2024’e kadar üretime alınması planlanmaktadır.
Channel Dosyası 291’deki Hızlı Yanıt İçeriği için İçerik Yorumlayıcısında sınır denetimini geliştirin. Sınır denetimi 25 Temmuz 2024’te eklendi ve genel kullanılabilirliğin 9 Ağustos 2024’te olması bekleniyor. Bu düzeltmeler bir sensör yazılımı düzeltme sürümü aracılığıyla 7.11 ve üzeri tüm Windows sensör sürümlerine geri aktarılmaktadır.
Falcon sensör kodunun ve uçtan uca kalite kontrol ve sürüm süreçlerinin daha fazla incelenmesi için iki bağımsız üçüncü taraf yazılım güvenlik tedarikçisiyle anlaşıldı. Bu çalışma başladı ve tasarım yoluyla güvenlik ve esnekliğe odaklanmamızın bir parçası olarak devam edecek.
Ek ayrıntılar ve terimler için RCA’dan ulaşabilirsiniz.
Referans: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/