Baca memo dari CrowdStrike yang menjelaskan bagaimana pembaruannya merusak komputer dunia

Tinjauan Pasca Insiden Awal (PIR): Pembaruan Konfigurasi Konten yang Berdampak pada Sensor Falcon dan Sistem Operasi Windows (BSOD)

Ini adalah Tinjauan Pasca Insiden (PIR) awal CrowdStrike. Kami akan merinci investigasi lengkap kami dalam Analisis Akar Masalah yang akan dirilis ke publik. Sepanjang PIR ini, kami telah menggunakan terminologi umum untuk menjelaskan platform Falcon agar lebih mudah dibaca. Terminologi dalam dokumentasi lain mungkin lebih spesifik dan teknis.

Apa yang telah terjadi?
Pada hari Jumat, 19 Juli 2024 pukul 04:09 UTC, sebagai bagian dari operasi rutin, CrowdStrike merilis pembaruan konfigurasi konten untuk sensor Windows guna mengumpulkan telemetri pada kemungkinan teknik ancaman baru.

Pembaruan ini merupakan bagian rutin dari mekanisme perlindungan dinamis platform Falcon. Pembaruan konfigurasi Konten Respons Cepat yang bermasalah mengakibatkan sistem Windows mogok.

Sistem yang tercakup mencakup host Windows yang menjalankan sensor versi 7.11 dan di atasnya yang online antara Jumat, 19 Juli 2024 04:09 UTC dan Jumat, 19 Juli 2024 05:27 UTC dan menerima pembaruan. Host Mac dan Linux tidak terpengaruh.

Cacat pada pembaruan konten telah dikembalikan pada hari Jumat, 19 Juli 2024 pukul 05:27 UTC. Sistem yang online setelah waktu ini, atau yang tidak terhubung selama periode tersebut, tidak terpengaruh.

Apa yang Salah dan Mengapa?
CrowdStrike memberikan pembaruan konfigurasi konten keamanan ke sensor kami dengan dua cara: Konten Sensor yang dikirimkan langsung dengan sensor kami, dan Konten Respons Cepat yang dirancang untuk menanggapi lanskap ancaman yang berubah dengan kecepatan operasional.

Masalah pada hari Jumat melibatkan pembaruan Konten Respons Cepat dengan kesalahan yang tidak terdeteksi.

Konten Sensor
Konten Sensor menyediakan berbagai macam kemampuan untuk membantu dalam respons musuh. Konten ini selalu menjadi bagian dari rilis sensor dan tidak diperbarui secara dinamis dari cloud. Konten Sensor mencakup model AI dan pembelajaran mesin pada sensor, dan terdiri dari kode yang ditulis secara khusus untuk memberikan kemampuan jangka panjang yang dapat digunakan kembali bagi teknisi deteksi ancaman CrowdStrike.

Kemampuan ini mencakup Jenis Template, yang memiliki bidang yang telah ditetapkan sebelumnya untuk dimanfaatkan oleh teknisi deteksi ancaman dalam Konten Respons Cepat. Jenis Template dinyatakan dalam kode. Semua Konten Sensor, termasuk Jenis Template, melalui proses QA yang ekstensif, yang mencakup pengujian otomatis, pengujian manual, validasi, dan langkah peluncuran.

Proses rilis sensor dimulai dengan pengujian otomatis, baik sebelum maupun setelah penggabungan ke basis kode kami. Ini termasuk pengujian unit, pengujian integrasi, pengujian kinerja, dan pengujian stres. Ini berpuncak pada proses peluncuran sensor bertahap yang dimulai dengan dogfooding internal di CrowdStrike, diikuti oleh para pengadopsi awal. Kemudian tersedia secara umum bagi pelanggan. Pelanggan kemudian memiliki opsi untuk memilih bagian mana dari armada mereka yang harus memasang rilis sensor terbaru (‘N’), atau satu versi yang lebih lama (‘N-1’) atau dua versi yang lebih lama (‘N-2’) melalui Kebijakan Pembaruan Sensor.

Peristiwa pada hari Jumat, 19 Juli 2024 tidak dipicu oleh Konten Sensor, yang hanya dikirimkan dengan rilis sensor Falcon yang diperbarui. Pelanggan memiliki kendali penuh atas penyebaran sensor — yang mencakup Konten Sensor dan Jenis Template.

Konten Respons Cepat
Konten Respons Cepat digunakan untuk melakukan berbagai operasi pencocokan pola perilaku pada sensor menggunakan mesin yang sangat optimal. Konten Respons Cepat adalah representasi bidang dan nilai, dengan penyaringan terkait. Konten Respons Cepat ini disimpan dalam berkas biner milik sendiri yang berisi data konfigurasi. Konten ini bukan kode atau driver kernel.

Konten Respons Cepat dikirimkan sebagai “Template Instances,” yang merupakan perwujudan dari Jenis Template tertentu. Setiap Template Instance memetakan perilaku tertentu agar sensor dapat mengamati, mendeteksi, atau mencegahnya. Template Instances memiliki serangkaian bidang yang dapat dikonfigurasikan agar sesuai dengan perilaku yang diinginkan.

Dengan kata lain, Jenis Templat mewakili kemampuan sensor yang memungkinkan telemetri dan deteksi baru, dan perilaku runtime-nya dikonfigurasi secara dinamis oleh Instansi Templat (yaitu, Konten Respons Cepat).

Konten Respons Cepat memberikan visibilitas dan deteksi pada sensor tanpa memerlukan perubahan kode sensor. Kemampuan ini digunakan oleh teknisi deteksi ancaman untuk mengumpulkan telemetri, mengidentifikasi indikator perilaku musuh, dan melakukan deteksi serta pencegahan. Konten Respons Cepat adalah heuristik perilaku, terpisah dan berbeda dari kemampuan pencegahan dan deteksi AI pada sensor CrowdStrike.

Pengujian dan Penerapan Konten Respons Cepat
Konten Respons Cepat dikirimkan sebagai pembaruan konfigurasi konten ke sensor Falcon. Ada tiga sistem utama: Sistem Konfigurasi Konten, Penerjemah Konten, dan Mesin Deteksi Sensor.

Sistem Konfigurasi Konten merupakan bagian dari platform Falcon di cloud, sementara Content Interpreter dan Sensor Detection Engine merupakan komponen sensor Falcon. Sistem Konfigurasi Konten digunakan untuk membuat Template Instances, yang divalidasi dan disebarkan ke sensor melalui mekanisme yang disebut Channel Files. Sensor menyimpan dan memperbarui data konfigurasi kontennya melalui Channel Files, yang ditulis ke disk pada host.

Content Interpreter pada sensor membaca Channel File dan menginterpretasikan Rapid Response Content, yang memungkinkan Sensor Detection Engine untuk mengamati, mendeteksi, atau mencegah aktivitas berbahaya, tergantung pada konfigurasi kebijakan pelanggan. Content Interpreter dirancang untuk menangani pengecualian dari konten yang berpotensi bermasalah dengan baik.

Jenis Template yang baru dirilis diuji ketahanannya dalam berbagai aspek, seperti pemanfaatan sumber daya, dampak kinerja sistem, dan volume kejadian. Untuk setiap Jenis Template, Instansi Template tertentu digunakan untuk menguji ketahanan Jenis Template dengan mencocokkannya dengan nilai yang mungkin dari bidang data terkait guna mengidentifikasi interaksi sistem yang merugikan.

Template Instances dibuat dan dikonfigurasi melalui penggunaan Sistem Konfigurasi Konten, yang mencakup Validator Konten yang melakukan pemeriksaan validasi pada konten sebelum diterbitkan.

Timeline Peristiwa: Pengujian dan Peluncuran Template InterProcessCommunication (IPC) Tipe
Rilis Konten Sensor: Pada tanggal 28 Februari 2024, sensor 7.11 tersedia secara umum bagi pelanggan, memperkenalkan Jenis Template IPC baru untuk mendeteksi teknik serangan baru yang menyalahgunakan Named Pipes. Rilis ini mengikuti semua prosedur pengujian Konten Sensor yang diuraikan di atas di bagian Konten Sensor.

Pengujian Stres Jenis Template: Pada tanggal 5 Maret 2024, pengujian stres Jenis Template IPC dilakukan di lingkungan pementasan kami, yang terdiri dari berbagai sistem operasi dan beban kerja. Jenis Template IPC lulus uji stres dan divalidasi untuk digunakan.

Rilis Instansi Template melalui File Saluran 291: Pada tanggal 5 Maret 2024, setelah uji stres yang berhasil, sebuah IPC Template Instance dirilis ke tahap produksi sebagai bagian dari pembaruan konfigurasi konten. Selanjutnya, tiga IPC Template Instance tambahan disebarkan antara tanggal 8 April 2024 dan 24 April 2024. Template Instance ini bekerja sesuai harapan dalam tahap produksi.

Apa yang Terjadi pada 19 Juli 2024?
Pada tanggal 19 Juli 2024, dua Template Instance IPC tambahan telah diterapkan. Karena adanya bug pada Content Validator, salah satu dari dua Template Instance lolos validasi meskipun berisi data konten yang bermasalah.

Berdasarkan pengujian yang dilakukan sebelum penerapan awal Jenis Template (pada tanggal 5 Maret 2024), kepercayaan pada pemeriksaan yang dilakukan di Validator Konten, dan penerapan Instansi Template IPC yang berhasil sebelumnya, instans ini diterapkan ke produksi.

Saat diterima oleh sensor dan dimuat ke dalam Content Interpreter, konten bermasalah di Channel File 291 mengakibatkan pembacaan memori di luar batas yang memicu pengecualian. Pengecualian tak terduga ini tidak dapat ditangani dengan baik, yang mengakibatkan crash sistem operasi Windows (BSOD).

Bagaimana Kita Mencegah Hal Ini Terjadi Lagi?

Ketahanan dan Pengujian Perangkat Lunak

Tingkatkan pengujian Konten Respons Cepat dengan menggunakan jenis pengujian seperti:
- Pengujian pengembang lokal
- Pengujian pembaruan dan pembatalan konten
- Pengujian stres, fuzzing dan injeksi kesalahan
- Pengujian stabilitas
- Pengujian antarmuka konten
Tambahkan pemeriksaan validasi tambahan ke Content Validator untuk Konten Respons Cepat. Pemeriksaan baru sedang dilakukan untuk mencegah penyebaran konten bermasalah seperti ini di masa mendatang.
Meningkatkan penanganan kesalahan yang ada di Content Interpreter.

Penyebaran Konten Respons Cepat

Terapkan strategi penyebaran bertahap untuk Konten Respons Cepat di mana pembaruan disebarkan secara bertahap ke bagian basis sensor yang lebih besar, dimulai dengan penyebaran kenari.
Meningkatkan pemantauan kinerja sensor dan sistem, mengumpulkan umpan balik selama penyebaran Konten Respons Cepat untuk memandu peluncuran bertahap.
Memberikan pelanggan kontrol yang lebih besar atas pengiriman pembaruan Konten Respons Cepat dengan memungkinkan pemilihan terperinci kapan dan di mana pembaruan ini disebarkan.
Berikan rincian pembaruan konten melalui catatan rilis, yang dapat dilanggani oleh pelanggan.

Selain Tinjauan Pasca Insiden awal ini, CrowdStrike berkomitmen untuk merilis Analisis Akar Penyebab secara lengkap setelah investigasi selesai.

Post Views: 117

Read Also