19 Temmuz 2024’te, CrowdStrike tarafından yollanan ve dünya çapında bilgisayar sistemlerini etkileyerek kesintilere sebebiyet veren güncelleme birçok BT sisteminde sorunlara yol açtı. Kısa süre içinde CrowdStrike “Channel File 291” adında bir kök neden analizi yayınladı. 

Giriş

Bu belge, Crowdstrike’ın Kök Neden Analizi (RCA) raporunun bulgularının yönetici bir özetini sunmaktadır. Raporun tamamı, Olay Sonrası Ön İncelememizde (PIR) daha önce paylaşılan bilgileri detaylandırarak, olayın bulguları, hafifletmeleri, teknik detayları ve temel neden analizi hakkında daha fazla derinlik sağlar.

CrowdStrike, müşterileri günümüzün düşmanlarına karşı korumak ve ihlalleri durdurmak misyonuyla kurulmuştur. 19 Temmuz 2024 tarihinde, düzenli operasyonların bir parçası olarak CrowdStrike, Windows sensörü için sistem çökmesine neden olan bir içerik yapılandırma güncellemesi (channel dosyaları aracılığıyla) yayınladı. Tüm samimiyetimizle özür dileriz.

Ekiplerimizle birlikte çalışarak sistemleri geri yüklemek ve birçoğunu saatler içinde tekrar çevrimiçi hale getirmek için hemen harekete geçen müşterilerimizin ve ortaklarımızın gece gündüz gösterdikleri inanılmaz çabaları takdirle karşılıyoruz. 29 Temmuz 2024, saat 20:00 EDT itibariyle, Windows sensörlerinin %99’u içerik güncellemesi öncesine kıyasla çevrimiçi durumdaydı. Sensör bağlantılarında genellikle haftadan haftaya %1’lik bir değişiklik görüyoruz. Hala etkilenen müşterilerimiz için, tüm sistemler eski haline dönene kadar rahat etmeyeceğimizi bilmenizi isteriz.

Neler Oldu?

CrowdStrike Falcon sensörü, en son gelişmiş tehditleri tanımlayarak ve düzelterek müşteri sistemlerini korumak için yapay zeka ve makine öğrenimi sunar. Şubat 2024’te CrowdStrike, belirli Windows mekanizmalarını kötüye kullanabilecek olası yeni saldırı tekniklerine görünürlük sağlamak için yeni bir algılayıcı özelliği sundu. Bu yetenek, Hızlı Yanıt İçeriğinin veri toplaması için bir dizi alanı önceden tanımladı. kök neden analizinde belirtildiği gibi, bu yeni sensör özelliği standart yazılım geliştirme süreçlerimize göre geliştirilmiş ve test edilmiştir.

Başarılı bir stres testinin ardından 5 Mart 2024 tarihinde, Channel Dosyası 291 için ilk Hızlı Yanıt İçeriği, bir içerik yapılandırma güncellemesinin parçası olarak üretime sunuldu ve 8 Nisan 2024 ile 24 Nisan 2024 tarihleri arasında üç Hızlı Yanıt güncellemesi daha dağıtıldı. Bunlar üretimde beklendiği gibi performans gösterdi.

19 Temmuz 2024’te belirli Windows ana bilgisayarlarına, ilk olarak Şubat 2024’te yayınlanan yeni özelliği geliştiren bir Hızlı Yanıt İçerik güncellemesi gönderildi. Sensör 20 giriş alanı beklerken güncelleme 21 giriş alanı sağladı. Bundan dolayı uyumsuzluk sınırların dışında bir bellek okumasına neden olarak sistemin çökmesine yol açtı. Üçüncü taraf bir inceleme ile birlikte yaptığımız analiz, bu hatanın bir tehdit aktörü tarafından istismar edilemeyeceğini doğruladı.

Ne Yaptık ve Sırada Ne Var?

Kök neden analizindeki bulgulara dayanarak, CrowdStrike’ın aldığı ve ileride alacağı bazı önlemler şunlardır:

Ek ayrıntılar ve terimler için RCA’dan ulaşabilirsiniz.

Referans: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/