CrowdStrike merilis Tinjauan Pasca Insiden Awal (PIR) pada pembaruan Falcon yang salah, menjelaskan bahwa ada bug yang memungkinkan data buruk melewati Validator Konten dan menyebabkan jutaan sistem Windows mogok pada 19 Juli 2024.
Perusahaan keamanan siber dijelaskan bahwa masalah tersebut disebabkan oleh pembaruan konfigurasi konten bermasalah yang dimaksudkan untuk mengumpulkan telemetri pada teknik ancaman baru.
Setelah melewati Content Validator, pembaruan tersebut tidak melalui verifikasi tambahan karena kepercayaan pada penerapan sebelumnya yang berhasil dari Inter-Process Communication (IPC) Template Type. Oleh karena itu, pembaruan tersebut tidak terdeteksi sebelum mencapai host daring yang menjalankan Falcon versi 7.11 dan yang lebih baru.
Perusahaan menyadari kesalahannya dan kembali pembaruan dalam waktu satu jam.
Namun, saat itu sudah terlambat. Kira-kira 8,5 juta sistem Windowsjika tidak lebih, mengalami pembacaan memori di luar batas dan mogok saat Content Interpreter memproses pembaruan konfigurasi baru.
Pengujian yang tidak memadai
CrowdStrike menggunakan data konfigurasi yang disebut IPC Template Types yang memungkinkan sensor Falcon mendeteksi perilaku mencurigakan pada perangkat tempat perangkat lunak diinstal.
Templat IPC dikirimkan melalui pembaruan konten rutin yang oleh CrowdStrike disebut ‘Konten Respons Cepat.’ Konten ini serupa dengan pembaruan definisi antivirus, yang memungkinkan CrowdStrike menyesuaikan kemampuan deteksi sensor untuk menemukan ancaman baru tanpa memerlukan pembaruan penuh hanya dengan mengubah data konfigurasinya.
Dalam kasus ini, CrowdStrike mencoba mendorong konfigurasi baru untuk mendeteksi penyalahgunaan Named Pipes yang berbahaya dalam kerangka kerja C2 umum.
Meskipun CrowdStrike belum secara spesifik menyebutkan kerangka kerja C2 yang ditargetkan, beberapa peneliti percaya pembaruan mencoba mendeteksi fitur pipa bernama baru di Cobalt StrikeBleepingComputer menghubungi CrowdStrike pada hari Senin tentang apakah deteksi Cobalt Strike menyebabkan masalah tersebut tetapi tidak mendapat respons.
Menurut perusahaan, Jenis Templat IPC baru dan Instansi Templat terkait yang bertugas menerapkan konfigurasi baru telah diuji secara menyeluruh menggunakan teknik pengujian stres otomatis.
Pengujian ini meliputi pemanfaatan sumber daya, dampak kinerja sistem, volume kejadian, dan interaksi sistem yang merugikan.
Validator Konten, komponen yang memeriksa dan memvalidasi Template Instances, memeriksa dan menyetujui tiga instance individual, yang diluncurkan pada tanggal 5 Maret, 8 April, dan 24 April 2024, tanpa masalah.
Pada tanggal 19 Juli, dua Instansi Templat IPC tambahan disebarkan, salah satunya berisi konfigurasi salah, yang terlewatkan oleh Validator Konten karena adanya bug.
CrowdStrike mengatakan bahwa karena kepercayaan dasar dari pengujian sebelumnya dan penerapan yang berhasil, tidak ada pengujian tambahan seperti pemeriksaan dinamis yang dilakukan, sehingga pembaruan yang buruk mencapai klien, yang menyebabkan pemadaman TI global besar-besaran.
Namun, berdasarkan PIR, Konten Respons Cepat menggunakan pengujian otomatis, bukan pengujian lokal pada perangkat internal yang kemungkinan besar dapat mendeteksi masalah tersebut.
CrowdStrike mengatakan mereka akan memperkenalkan pengujian pengembang lokal untuk Konten Respons Cepat di masa mendatang, seperti yang dijelaskan di bawah ini.
Langkah-langkah baru
CrowdStrike menerapkan beberapa langkah tambahan untuk mencegah insiden serupa di masa mendatang.
Secara khusus, firma tersebut mencantumkan langkah-langkah tambahan berikut saat menguji Konten Respons Cepat:
- Pengujian pengembang lokal
- Pengujian pembaruan dan pembatalan konten
- Pengujian stres, fuzzing, dan injeksi kesalahan
- Pengujian stabilitas
- Pengujian antarmuka konten
Selain itu, pemeriksaan validasi tambahan akan ditambahkan ke Validator Konten, dan penanganan kesalahan dalam Interpreter Konten akan ditingkatkan untuk menghindari kesalahan seperti itu yang menyebabkan mesin Windows tidak dapat dioperasikan.
Terkait dengan penyebaran Konten Respons Cepat, perubahan berikut direncanakan:
- Terapkan strategi penyebaran bertahap, dimulai dengan penyebaran kecil sebelum diperluas secara bertahap.
- Tingkatkan pemantauan kinerja sensor dan sistem selama penerapan, menggunakan umpan balik untuk memandu peluncuran bertahap.
- Memberikan pelanggan kontrol lebih besar atas pengiriman pembaruan Konten Respons Cepat, sehingga mereka dapat memilih kapan dan di mana pembaruan disebarkan.
- Tawarkan detail pembaruan konten melalui catatan rilis, yang dapat dilanggani pelanggan untuk mendapatkan informasi terkini.
Crowdstrike telah berjanji untuk menerbitkan analisis akar penyebab yang lebih terperinci di masa mendatang, dan rincian lebih lanjut akan tersedia setelah investigasi internal selesai.
