CrowdStrike 表示,Falcon 传感器崩溃并导致 Windows 机器出现蓝屏是由于漏洞和测试漏洞“共同作用”造成的。
CrowdStrike 根本原因分析
陷入困境的网络安全供应商 CrowdStrike 周二发布了一份根本原因分析,详细说明了导致全球 Windows 系统瘫痪的软件更新崩溃背后的技术故障,并将该事件归咎于安全漏洞和流程缺陷的共同作用。
新的 CrowdStrike 根本原因分析记录了导致 Falcon EDR 传感器崩溃的多种因素——内容验证器验证的输入与提供给内容解释器的输入不匹配、内容解释器中的越界读取问题以及缺乏特定测试——以及承诺与 Microsoft 合作实现对 Windows 内核的安全可靠访问。
“接收到包含问题内容的新版本通道文件 291 的传感器在内容解释器中暴露于潜在的越界读取问题。在操作系统发出的下一个 IPC 通知中,将评估新的 IPC 模板实例,指定与第 21 个输入值进行比较。内容解释器仅预期 20 个值,”CrowdStrike 解释道。
该公司表示:“因此,尝试访问第 21 个值会导致超出输入数据数组末尾的越界内存读取,并导致系统崩溃。”
EDR 供应商表示:“虽然 Channel File 291 的这种情况现在无法重现,但它也为 CrowdStrike 部署流程改进和缓解措施提供了参考,以确保进一步增强弹性。”
该公司表示,其内核驱动程序在系统启动过程的早期加载,允许 Falcon 传感器观察和防御在用户模式进程启动之前启动的恶意软件,并承诺更新其代理以利用对用户空间安全功能的新支持,减少对内核驱动程序的依赖。
“随着新版 Windows 引入对在用户空间执行更多此类安全功能的支持,CrowdStrike 会更新其代理以利用此支持。Windows 生态系统仍需大量工作来支持一款强大的安全产品,该产品至少部分功能不依赖内核驱动程序。随着 Windows 继续增加对用户空间安全产品需求的更多支持,我们致力于与 Microsoft 持续直接合作,”该公司表示。
CrowdStrike 还宣布,已聘请两家独立的第三方软件安全供应商对 Falcon 传感器代码进行全面审查,以确保其安全性和质量。此外,两家公司表示,他们正在对从开发到部署的端到端质量流程进行独立审查,重点关注 7 月 19 日以来受影响的代码。
在发布根本原因分析报告之际,CrowdStrike 和达美航空公开争论谁应该为达美航空在全球技术故障后遭受的损失负责。达美航空首席执行官威胁要起诉CrowdStrike,称其造成了 5 亿美元的收入损失和数千次航班取消带来的额外成本。
CrowdStrike报告详情:
https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf
原文始发于微信公众号(独眼情报):CrowdStrike 发布 Falcon Sensor BSOD 崩溃根本原因分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论