Frappe de foule

CrowdStrike a publié un rapport préliminaire après incident (PIR) sur la mise à jour défectueuse de Falcon expliquant qu'un bug permettait à de mauvaises données de passer son validateur de contenu et de provoquer le crash de millions de systèmes Windows le 19 juillet 2024.

L'entreprise de cybersécurité expliqué que le problème était dû à une mise à jour problématique de la configuration du contenu destinée à recueillir des données de télémétrie sur de nouvelles techniques de menace.

Après avoir passé le validateur de contenu, la mise à jour n'a pas subi de vérifications supplémentaires en raison de la confiance dans les déploiements réussis précédents du type de modèle de communication interprocessus (IPC) sous-jacent. Par conséquent, elle n'a pas été détectée avant d'atteindre les hôtes en ligne exécutant Falcon version 7.11 et ultérieure.

L'entreprise a réalisé l'erreur et a annulé la mise à jour en une heure.

Publicité

Mais à ce moment-là, il était déjà trop tard. Environ 8,5 millions de systèmes Windows, voire plus, ont subi une lecture de mémoire hors limites et se sont plantés lorsque l'interpréteur de contenu a traité la nouvelle mise à jour de configuration.

Table des matières hide
1 Des tests inadéquats
2 Nouvelles mesures

Des tests inadéquats

CrowdStrike utilise des données de configuration appelées types de modèles IPC qui permettent au capteur Falcon de détecter un comportement suspect sur les appareils sur lesquels le logiciel est installé.

Les modèles IPC sont fournis via des mises à jour de contenu régulières que CrowdStrike appelle « contenu de réponse rapide ». Ce contenu ajuste les capacités de détection du capteur pour trouver de nouvelles menaces sans nécessiter de mises à jour complètes en modifiant simplement ses données de configuration.

Dans ce cas, CrowdStrike a tenté de déployer une nouvelle configuration pour détecter les abus malveillants des Named Pipes dans les frameworks C2 courants.

Bien que CrowdStrike n’ait pas nommé spécifiquement les frameworks C2 ciblés, certains chercheurs croient la mise à jour a tenté de détecter nouvelles fonctionnalités de tuyaux nommés dans Cobalt StrikeBleepingComputer a contacté CrowdStrike lundi pour savoir si les détections de Cobalt Strike étaient à l'origine des problèmes, mais n'a pas reçu de réponse.

Selon la société, le nouveau type de modèle IPC et les instances de modèle correspondantes chargées de mettre en œuvre la nouvelle configuration ont été minutieusement testés à l'aide de techniques de test de résistance.

Ces tests incluent l’utilisation des ressources, l’impact sur les performances du système, le volume des événements et les interactions indésirables du système.

Le validateur de contenu, un composant qui vérifie et valide les instances de modèle, a vérifié et approuvé trois instances individuelles, qui ont été poussées les 5 mars, 8 avril et 24 avril 2024, sans problème.

Le 19 juillet, deux instances de modèle IPC supplémentaires ont été déployées, l'une contenant la configuration défectueuse, que le validateur de contenu a manquée en raison d'un bug.

CrowdStrike affirme qu'en raison de la confiance de base issue des tests précédents et des déploiements réussis, aucun test supplémentaire tel que des vérifications dynamiques n'a été effectué, de sorte que la mauvaise mise à jour a atteint les clients, provoquant une panne informatique mondiale massive.

Nouvelles mesures

CrowdStrike met en œuvre plusieurs mesures supplémentaires pour éviter des incidents similaires à l’avenir.

Plus précisément, l’entreprise a énuméré les étapes supplémentaires suivantes lors du test du contenu de réponse rapide :

  • Tests pour développeurs locaux
  • Mise à jour du contenu et tests de restauration
  • Tests de stress, fuzzing et injection de fautes
  • Test de stabilité
  • Test de l'interface de contenu

De plus, des contrôles de validation supplémentaires seront ajoutés au validateur de contenu et la gestion des erreurs dans l'interpréteur de contenu sera améliorée pour éviter que de telles erreurs ne conduisent à des machines Windows inutilisables.

En ce qui concerne le déploiement du contenu de réponse rapide, les changements suivants sont prévus :

  • Mettez en œuvre une stratégie de déploiement échelonnée, en commençant par un petit déploiement Canary avant de l’étendre progressivement.
  • Améliorez la surveillance des performances des capteurs et du système pendant les déploiements, en utilisant les commentaires pour guider un déploiement progressif.
  • Offrez aux clients davantage de contrôle sur la diffusion des mises à jour de contenu de réponse rapide, leur permettant de choisir quand et où les mises à jour sont déployées.
  • Proposez des détails de mise à jour de contenu via des notes de publication, auxquelles les clients peuvent s'abonner pour obtenir des informations en temps opportun.

Crowdstrike a promis de publier à l'avenir une analyse plus détaillée des causes profondes, et davantage de détails seront disponibles une fois l'enquête interne terminée.

flare 400
5/5 - (135 votes)
Publicité
Article précédent« House of the Dragon » Saison 2, épisode 6 : Alys Rivers a-t-elle déjà jeté un sort sur un autre personnage ?
Article suivantProcédure pas à pas des catacombes de Deathtouched d'Elden Ring
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici