Търсене
Close this search box.

CrowdStrike ще предостави на клиентите си по-голям контрол върху начина, по който внедряват актуализации на съдържанието на сензорната технология за сигурност на крайни точки Falcon на компанията, след неотдавнашния инцидент, при който дефектна актуализация срина повече от 8,5 милиона системи Windows по целия свят.

Засегнатият доставчик на системи за сигурност – който вече е обект на две съдебни дела във връзка с инцидента – е внедрил нови функции в платформата си, за да поддържа тази възможност, като в бъдеще се планира допълнителна функционалност.

Множество промени

Актуализацията е една от няколкото промени, които CrowdStrike въведе след приключването на анализа на първопричината (RCA) на инцидента от 19 юли. В актуализация от 7 август CrowdStrike обяви други промени, които е направила, за да гарантира, че подобно нещо няма да се случи в бъдеще. Промените включват нови процедури за тестване на системата за конфигуриране на съдържание, допълнителни слоеве за внедряване и проверки за приемане на системата за конфигуриране на съдържание, както и нови проверки за валидиране на актуализациите.

CrowdStrike също така е поискала от двама независими доставчици на услуги за сигурност от трети страни да прегледат кода на нейната сензорна технология Falcon, както и процесите на компанията за контрол на качеството и пускане на продукта. „Използваме поуките, извлечени от този инцидент, за да служим по-добре на нашите клиенти“, заяви главният изпълнителен директор на CrowdStrike Джордж Курц в изявление, придружаващо RCA. „За тази цел вече сме предприели решителни стъпки, за да предотвратим повтарянето на тази ситуация и да помогнем да гарантираме, че ние – и вие – ще станем още по-устойчиви.“

Проблемите на CrowdStrike започнаха с актуализацията на съдържанието от 19 юли за нова сензорна способност Falcon, която доставчикът на системи за сигурност пусна за първи път през февруари 2024 г. Автоматично разгърнатата актуализация доведе до срив на системите Windows по целия свят и създаде огромни смущения в работата на организации от различни сектори, включително авиокомпании, финансови услуги, здравеопазване, производство и правителство. В много случаи системните администратори трябваше ръчно да рестартират компютрите, което означаваше, че на много организации им бяха необходими дни, за да възстановят напълно услугите.

CrowdStrike вече стана обект на поне две колективни съдебни дела във връзка с инцидента – едното от името на акционерите на компанията, а другото – от името на засегнатите предприятия. Очаква се през следващите дни и месеци много други компании, включително Delta Air Lines, да заведат дела срещу CrowdStrike за свързаните с прекъсването разходи.

Несъответствие в броя на параметрите

Производителят на системи за сигурност определи като основна причина за проблемите несъответствието в броя на параметрите между това, което очакваше неговият сензорен продукт Falcon, и това, което действително съдържаше актуализацията на конфигурацията на съдържанието от 19 юли. Актуализацията беше за функция на сензора Falcon, която CrowdStrike пусна през февруари, за да открива и предоставя информация за нови техники за атаки, които използват специфични механизми на Windows. Falcon sensor използва специфичен шаблон с предварително определен набор от 20 отделни входни полета, за да предостави тази специфична възможност.

Актуализацията на конфигурацията на съдържанието на CrowdStrike на 19 юли предостави 21 входни полета, а не 20-те полета, които сензорът очакваше. „В този случай несъответствието доведе до четене на памет извън границите, което причини срив на системата“, заявиха от CrowdStrike.

Въпреки че доставчикът на системи за сигурност е представил шаблона с несъответстващия брой параметри през февруари, неговият анализ е показал, че той се е изплъзнал покрай множество нива на валидиране и тестване на компилацията. Никой не е забелязал несъответствието по време на тестовия процес за пускане на сензора, по време на стрес тестовете на шаблона или дори по време на първоначалните реални внедрявания. Отчасти това се дължи на факта, че тестовите процеси и първоначалните разгръщания са използвали „критерии за съвпадение със символи“ – което означава, че са приемали всякаква стойност или никаква стойност – за параметъра на допълнителното поле за въвеждане.

При актуализацията от 19 юли за параметъра от 21 юли е използван критерий за съответствие, който не е „уайлдкард“, което означава, че сензорът е трябвало да се бори с данни за поле, което не е очаквал. „Интерпретаторът на съдържание очакваше само 20 стойности“, заяви CrowdStrike. „Поради това опитът за достъп до 21-вата стойност доведе до четене на памет извън границите след края на масива с входни данни и доведе до срив на системата.“

 

Източник: DARKReading

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
16/09/2024

Canva се похвали с новите с...

Цените на абонамента за Canva ще...
14/09/2024

23andMe ще плати 30 млн. до...

Гигантът в областта на ДНК тестовете...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!