Фінансові новини
- |
- 19.12.24
- |
- 07:21
- |
- RSS
- |
- мапа сайту
Авторизация
CrowdStrike пояснила в деталях, як саме вона змогла вивести з ладу 8,5 млн ПК із Windows
17:36 22.07.2024 |
CrowdStrike, яка спричинила збій на 8,5 млн ПК із Windows 19 липня 2024 року, описала всю ситуацію в деталях у своєму блозі. Збій стався через логічну помилку в оновленні конфігурації датчиків для систем Windows, які використовують платформу захисту Falcon.
Системи з Falcon Sensor для Windows 7.11 і вище, які завантажили оновлену конфігурацію з 04:09 UTC до 05:27 UTC, "були схильні до збою системи".
Ці конфігураційні файли називаються "Файлами каналів" і є частиною механізмів поведінкового захисту, які використовуються датчиком Falcon. Оновлення файлів каналів є нормальною частиною роботи датчика і відбувається кілька разів на день у відповідь на нові тактики, методи та процедури, виявлені CrowdStrike.
У системах Windows файли каналів знаходяться за наступним шляхом:
C:\Windows\System32\drivers\CrowdStrike\
Ці файли мають ім'я, яке починається з "C-". Кожному файлу каналу присвоєно номер як унікальний ідентифікатор. Файл каналу, на який було здійснено вплив у цій події, має номер 291 та ім'я файлу, що починається з "C-00000291-" і закінчується розширенням .sys.
Файл каналу 291 керує тим, як Falcon оцінює виконання іменованого каналу pipe1 у системах Windows. Іменовані канали використовуються для звичайного, міжпроцесного або міжсистемного зв'язку у Windows.
Оновлення, яке спричинило проблему, було спрямоване на нещодавно виявлені зловмисні іменовані канали, які використовуються поширеними фреймворками C2 в кібератаках.
CrowdStrike виправила логічну помилку, оновивши вміст у файлі каналу 291. Жодних додаткових змін у файлі каналу 291, окрім оновленої логіки, не буде внесено. Це не пов'язано з нульовими байтами, які містяться у канальному файлі 291 або будь-якому іншому канальному файлі.
Компанія пише, що системи під управлінням Linux та macOS не використовують файл каналу 291 і не зазнали впливу. Проте The Register додає "цього разу".
У червні компанія Red Hat (розробник дистрибутиву Fedora) попередила своїх клієнтів про "Kernel panic після завантаження 5.14.0-427.13.1.el9_4.x86_64 процесом falcon-sensor", яка вплинула на деяких користувачів Red Hat Enterprise Linux 9.4.
В іншому повідомленні про помилку "System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9" користувачам рекомендувалося "звернутися за допомогою з модулем ядра falcon_lsm_serviceable, що постачається з програмного забезпечення CrowdStrike Falcon Sensor/Agent для забезпечення безпеки".
Red Hat також порадила, що "відключення програмного забезпечення CrowdStrike Falcon Sensor/Agent ... зменшить кількість збоїв і забезпечить тимчасову стабільність системи".
Паніки ядра Linux і "сині екрани смерті" Windows загалом можна порівняти. Виникнення паніки ядра всього за кілька тижнів до того, як CrowdStrike зламав багато реалізацій Windows, натякає, що проблема не просто в одному невдалому оновленні.
|
|
ТЕГИ
ТОП-НОВИНИ
ПІДПИСКА НА НОВИНИ
Для підписки на розсилку новин введіть Вашу поштову адресу :