La société de cybersécurité CrowdStrike a imputé mercredi à un problème dans son système de validation le crash de millions d’appareils Windows dans le cadre d’une panne généralisée à la fin de la semaine dernière.
“Le vendredi 19 juillet 2024 à 04h09 UTC, dans le cadre de ses opérations régulières, CrowdStrike a publié une mise à jour de la configuration du contenu pour le capteur Windows afin de recueillir des données télémétriques sur d’éventuelles nouvelles techniques de menace”, a déclaré la société dans son examen préliminaire post-incident ( PIR).
“Ces mises à jour font régulièrement partie des mécanismes de protection dynamique de la plateforme Falcon. La mise à jour problématique de la configuration de Rapid Response Content a entraîné un crash du système Windows.”
L’incident a touché les hôtes Windows exécutant la version 7.11 et supérieure du capteur qui étaient en ligne entre le 19 juillet 2024, 04h09 UTC et 05h27 UTC et qui ont reçu la mise à jour. Les systèmes Apple macOS et Linux n’ont pas été affectés.
CrowdStrike a déclaré qu’il fournit des mises à jour de configuration du contenu de sécurité de deux manières, l’une via le contenu de capteur fourni avec Falcon Sensor et l’autre via le contenu de réponse rapide qui lui permet de signaler les nouvelles menaces à l’aide de diverses techniques de correspondance de modèles comportementaux.
Le crash serait le résultat d’une mise à jour de Rapid Response Content contenant une erreur non détectée auparavant. Il convient de noter que ces mises à jour sont fournies sous la forme d’instances de modèles correspondant à des comportements spécifiques – qui sont mappés à des types de modèles spécifiques – pour permettre de nouvelles télémétries et détections.
Les instances de modèle, à leur tour, sont créées à l’aide d’un système de configuration de contenu, après quoi elles sont déployées sur le capteur via le cloud via un mécanisme appelé Channel Files, qui sont finalement écrits sur le disque de la machine Windows. Le système comprend également un composant Content Validator qui effectue des contrôles de validation sur le contenu avant sa publication.
“Rapid Response Content offre une visibilité et des détections sur le capteur sans nécessiter de modification du code du capteur”, explique-t-il.
« Cette capacité est utilisée par les ingénieurs de détection des menaces pour recueillir des données télémétriques, identifier les indicateurs de comportement de l’adversaire et effectuer des détections et des préventions. Le contenu de réponse rapide est une heuristique comportementale, distincte des capacités de prévention et de détection de l’IA sur capteur de CrowdStrike.
Ces mises à jour sont ensuite analysées par l’interprète de contenu du capteur Falcon, qui permet ensuite au moteur de détection du capteur de détecter ou de prévenir les activités malveillantes.
Bien que chaque nouveau type de modèle soit soumis à des tests de résistance pour différents paramètres tels que l’utilisation des ressources et l’impact sur les performances, la cause première du problème, selon CrowdStrike, pourrait remonter au déploiement du type de modèle de communication interprocessus (IPC) le 28 février 2024. qui a été introduit dans les attaques de drapeau qui nommaient les tuyaux.
La chronologie des événements est la suivante –
- 28 février 2024 – CrowdStrike propose le capteur 7.11 aux clients avec un nouveau type de modèle IPC
- 5 mars 2024 – Le type de modèle IPC réussit le test de résistance et est validé pour son utilisation
- 5 mars 2024 – L’instance de modèle IPC est mise en production via le fichier de canal 291.
- 8 – 24 avril 2024 – Trois autres instances de modèles IPC sont déployées en production
- 19 juillet 2024 – Deux instances de modèles IPC supplémentaires sont déployées, dont l’une réussit la validation malgré des données de contenu problématiques
“Sur la base des tests effectués avant le déploiement initial du type de modèle (le 5 mars 2024), de la confiance dans les vérifications effectuées dans le validateur de contenu et des précédents déploiements réussis d’instances de modèle IPC, ces instances ont été déployées en production”, a déclaré CrowdStrike. .
“Une fois reçu par le capteur et chargé dans l’interpréteur de contenu, le contenu problématique dans le fichier de canal 291 a entraîné une lecture de mémoire hors limites déclenchant une exception. Cette exception inattendue n’a pas pu être gérée correctement, ce qui a entraîné un crash du système d’exploitation Windows ( BSoD).”
En réponse aux perturbations majeures provoquées par le crash et pour empêcher qu’elles ne se reproduisent, la société basée au Texas a déclaré avoir amélioré ses processus de test et amélioré son mécanisme de gestion des erreurs dans l’interprète de contenu. Il prévoit également de mettre en œuvre une stratégie de déploiement échelonné pour Rapid Response Content.