CrowdStrike poskytla nové technické detaily k príčine BSoD, šéfa si predvolal Kongres USA

Značky: Windowsvýpadky

DSL.sk, 24.7.2024

Spoločnosť CrowdStrike, ktorej bezpečnostný softvér Falcon v piatok spôsobil rozsiahly IT incident kvôli pádu Windows s týmto softvérom, aktuálne zverejnila niektoré nové detaily o príčinách incidentu.

Ako sme informovali v tomto a tomto článku, incident spôsobila aktualizácia pre Falcon, postihnuté systémy s problematickou aktualizáciou padali so známou chybovou BSoD obrazovkou Windows a následne sa nevedeli úspešne nabootovať.

Chybná aktualizácia bola vydaná v piatok 19. júla o 6:09 nášho času. Išlo o aktualizáciu konfiguračného súboru CrowdStrike Falcon s číslom 291, ktorý definuje ochrany špecificky pre mechanizmus tzv. pomenovaných pipe vo Windows. Aktualizácia reagovala na nový spôsob ich zneužívania pri niektorých útokoch, spôsobila ale bližšie nešpecifikovanú logickú chybu vyúsťujúcu do pádu Windows s BSoD chybovou obrazovkou a operačný systém následne ani nedokázal štandardne nabootovať.

Podľa aktualizovaných informácií CrowdStrike problematická aktualizácia bola tzv. typu Rapid Response Content, ktorý neobsahuje spustiteľný kód iba dáta pre už nainštalovaný kód.

V aktualizácii sa nachádzali ale problematické dáta. Tie by mal zachytiť ešte pred zverejnením aktualizácie tzv. Content Validator, v ňom sa ale nachádzala chyba a kvôli tomu nedetekoval problematické dáta. Keď sa Falcon softvér na Windows snažil dáta použiť, spôsobilo to výnimku kvôli čítaniu z nesprávnej adresy v pamäti a pád Windows.

Technickejšie detaily čo všetko má Content Validator zachytiť, aké chybné dáta boli v aktualizácii a ako viedli k prístupu na nesprávnu adresu v pamäti informácie CrowdStrike neuvádzajú.

Problém bol vyriešený o 7:27 nášho času, počítače ktoré si problematickú aktualizáciu dovtedy stiahli ale už následne nevedeli nabootovať. Podľa odhadu Microsoftu sa problém dotkol 8.5 milióna počítačov s Windows, serverov aj desktopov. Hoci celkový počet postihnutých systémov predstavuje malý zlomok zo všetkých počítačov s Windows, dopady incidentu boli pomerne veľké vzhľadom na časté používanie riešenia CrowdStrike na serveroch prípadne desktopoch využívaných firmami a rozličnými dôležitými službami.

Problém sa dal vyriešit technicky pomerne jednoducho, bolo potrebné odstrániť chybný súbor aktualizácií. Komplikovanejšie to bolo na systémoch so zašifrovaným diskom pomocou riešenia BitLocker zabudovaným vo Windows na tento účel, na ktorých mohlo byť potrebné zadať obnovovací BitLocker kľúč.

Keďže systém po páde úspešne nebootoval, riešenie sa typicky nedalo realizovať hromadne a bolo ho potrebné uskutočniť individuálne na každom postihnutom počítači, či už fyzickým prístupom alebo cez vzdialený manažment. Jednoduchšie to bolo v prípade Windows bežiacich na virtuálnych počítačoch v rozličných cloudových službách, kde je možné k diskom postihnutých počítačov jednoducho pristupovať a minimálne v prípade Microsoft Azure bolo k dispozícii riešenie pomocou príkazov cez Azure CLI s potenciálnou možnosťou ho tak automatizovať.

Dozvuky incidentu zrejme pre časovo náročnú obnovu systémov v niektorých prípadoch pokračovali aj v ďalších dňoch a napríklad jedna z veľkých amerických leteckých spoločností kvôli incidentu rušila lety ešte aj v pondelok a plné obnovenie činnosti očakávala až o niekoľko dní.

CEO spoločnosti CrowdStrike Georga Kurtza si následne v pondelok predvolal výbor pre domácu bezpečnosť Snemovne reprezentantov USA, aby incident bližšie vysvetlil. V USA sú podobné vypočutia pomerne bežné a zákonodarcovia si bežne predvolávajú predstaviteľov rozličných spoločností a odborníkov, aby vysvetľovali aktuálne témy.




Najnovšie články:



Diskusia:

manualne 8 a pol miliona, no to potesi Od: Danyk | Pridané: 24.7.2024 8:58 A vysvetlil? Joj pardon, vsak sa nic az take nedeje... Napr. ESET mal pred mnoho rokmi 85 mil. aktualizacii, hoc ako vtedy uviedol, je len 25 mil. platiacich. Zrejme aj MS vie aspon priblizne, kolko ich poskytli. Ako to vyriesili spolocnosti s vlastnym aktualizacnzm systemom? Odpovedať Známka: -5.7 Hodnotiť:

Re: manualne 8 a pol miliona, no to potesi Od reg.: holden | Pridané: 24.7.2024 9:10 Toto je nejaky novy nahodny generator slov? Vyzera pomerne nepriestrelne, mozes pls poskytnut link? Dikyyyy Odpovedať Známka: 8.1 Hodnotiť:

Re: manualne 8 a pol miliona, no to potesi Od: Danyk | Pridané: 24.7.2024 9:16 Nie slov, ale celych viet. O co konkretne vam ide? Odpovedať Známka: -3.8 Hodnotiť:

Re: manualne 8 a pol miliona, no to potesi Od: raketakluis | Pridané: 24.7.2024 9:52 A tebe? O čo ide tebe?! Odpovedať Známka: 2.9 Hodnotiť:

ultraumiernený pacifizmus Od: syntaxterrorXXX, . Y | Pridané: 24.7.2024 10:16 Možno len o maximalizáciu efektivity spôsobovania priekazne čo najväčšieho utrpenia každému, kto zisťuje, o čomu ide. Odpovedať Známka: -0.9 Hodnotiť:

Re: ultraumiernený pacifizmus Od: erfx | Pridané: 24.7.2024 10:38 Preboha len to nie, jeden syntaxterror nám tu stačí. Odpovedať Známka: 10.0 Hodnotiť:

Re: ultraumiernený pacifizmus Od: syntaxmagor | Pridané: 24.7.2024 16:46 O co ti ide? Odpovedať Známka: -3.3 Hodnotiť:

Re: ultraumiernený pacifizmus Od reg.: syntaxterrorXXX; . Y | Pridané: 25.7.2024 8:45 Mne? Odpovedať Hodnotiť:

Re: manualne 8 a pol miliona, no to potesi Od: applet | Pridané: 25.7.2024 15:42 Celkovo platí, že ESET je silnejší v detekcii malwaru a ponúka užívateľsky prívetivé rozhranie. Microsoft Defender je však bezplatný a je súčasťou operačných systémov Windows 2. Ak máte konkrétne požiadavky alebo ďalšie otázky, dajte mi vedieť! 😊 Odpovedať Známka: -10.0 Hodnotiť:

ultraradikálny empaticizmus Od: syntaxterrorXXX, . Y | Pridané: 24.7.2024 9:02 Kongres USA pôsobí ako tá najsprávnejšia skupina odborníkov na priekazne objektívne zhodnotenie technickejších detailov incidentov v procese aktualizácie digitálne podpísaných ovládačov, bežiacich na úrovni kernelu. Odpovedať Známka: 1.7 Hodnotiť:

Re: ultraradikálny empaticizmus Od: martinccc | Pridané: 24.7.2024 9:09 "On je mudry, za chvilu pojde robit Dzurindovi do kancelarie." Ladislav Melisko, banik vo vysluzbe Odpovedať Známka: 6.8 Hodnotiť:

Re: ultraradikálny empaticizmus Od: mkonigstaggenius | Pridané: 24.7.2024 14:01 Miluša Tereza ona ma furt nové aktualizácie Odpovedať Známka: 6.0 Hodnotiť:

Re: ultraradikálny empaticizmus Od: Danyk | Pridané: 24.7.2024 9:10 To nie, ale zrejme si vedia zadovazit paky aby sa problem riesil a neprehlboval. Odpovedať Známka: 4.3 Hodnotiť:

ultraradikálny optimalizatorizmus Od: syntaxterrorXXX, . Y | Pridané: 24.7.2024 9:51 Tak to mi uniká i zmysel vyžadovania certifikácie projektového riadenia pre firmy, keď sa ho jeho držiteľa snaží najsámvyšší dozorný orgán priekazne opäť učiť. Odpovedať Známka: -3.3 Hodnotiť:

Re: ultraradikálny empaticizmus Od: raketakluis | Pridané: 24.7.2024 9:52 O čo ti ide? Odpovedať Známka: 2.0 Hodnotiť:

Re: ultraradikálny empaticizmus Od: sdgasdgda | Pridané: 24.7.2024 11:02 je celkom logicke, ze ked sa udeje pruser so zavaznym dopadom na celu spolocnost, tak sa o to zacne zaujimat aj parlament. a nekonci to ako u nas len u expertov, ktorych stanovisko maju vsetci zobrat ako svate. Odpovedať Známka: 6.0 Hodnotiť:

Re: ultraradikálny empaticizmus Od reg.: MackoPu1 | Pridané: 24.7.2024 15:47 Slovensko im ukazalo cestu ako sa to ma robit. Vladny splnomocnenec po kratkom pressingu odbornikov, odhalil svetove spiknutie. Odpovedať Známka: -10.0 Hodnotiť:

Takéto stretnutia sa zvyknú zapísať do análov. Od: Baltazár Kokoschka | Pridané: 24.7.2024 9:20 Stretnutie s členmi kongresu je významná udalosť v živote jednotlivca, je to česť a účastník seansy bude na to spomínať v rodinnom kruhu za dlhých zimných večerov ešte roky. V kuchyni bude rozvoniavať varené vínko a pečené gaštany, rodina bude dedovi visieť na ústach, ten bude líčiť, čo mal ktorý zákonodarca oblečené a či sa mu hodili topánky k obleku. Odpovedať Známka: 8.8 Hodnotiť:

Re: Takéto stretnutia sa zvyknú zapísať do análov. Od: Danyk | Pridané: 24.7.2024 9:28 No. A este sa budu vnuci pytat co je toten Windows. Odpovedať Známka: 8.8 Hodnotiť:

Re: Takéto stretnutia sa zvyknú zapísať do análov. Od: tla čidlo | Pridané: 24.7.2024 10:11 Citit od teba obrovsku zavist. Odpovedať Známka: -4.5 Hodnotiť:

Re: Takéto stretnutia sa zvyknú zapísať do análov. Od: awwda | Pridané: 24.7.2024 10:39 samozrejme, že každý takúto situáciu môže priekazne len závidieť Odpovedať Známka: 7.1 Hodnotiť:

Re: Takéto stretnutia sa zvyknú zapísať do análov. Od: tla čidlo | Pridané: 24.7.2024 14:40 Nepokecas si ked mozes? Vina stejnak padne na niekoho ineho a ide sa dalej. Odpovedať Známka: 3.3 Hodnotiť:

Lyta ZkrachZneuzNasranAChudobna a priekazne priebezne frflajuca nadavajuca Od: LytaRyta Hochbatnica 3-ryba | Pridané: 24.7.2024 14:47 ha! vravis, ze od neho citit velku zavist, ba este priam obrovsku ? a to si este necital moje prispevky! ale tu scenku by som mierne poopravil, upresnil - vinko tam nebude moct byt, lebo je to halam, zakazane, a dedovi budu moct visiet na ustavh, - ale az po ranaksej, obednajsej, poobednej, podvecernej, a vecernej navstevy mesity, stretnuti s imamom, a jeho pobocnikmi, a modlitbach v mesite, a minarete! a tie pecene gastany - tiez sa tam moc nehodia, je mi z nich spatne, sa mi po nich dela soufl, blbe nevolno, a beztak na jidlo bude v te dobe uz len, a to povinne, nariadenim BRUSELU!, uz jen hmyz, cerviy, chrousty, brouky, s pod. - (aj) to len v ramci toho, aby sa tu tie staa-a-staa milionov, miliard islamo-negrov, a muslimo indov, pakosov, citilo jako doma! Odpovedať Známka: -10.0 Hodnotiť:

Re: Lyta ZkrachZneuzNasranAChudobna a priekazne priebezne frflajuca nadavajuca Od: skfkdkskd | Pridané: 24.7.2024 15:01 tvoja stara mi vravela ze si davas ako jednohubky svabov marinovanych v kofole Odpovedať Známka: 5.0 Hodnotiť:

ultraumiernený prakticizmus Od: syntaxterrorXXX, . Y | Pridané: 24.7.2024 15:52 A? Ktokoľvek si predsa môže zvoliť celibát a dostávať sa tak pri spovedi priekazne k súkromným údajom. Odpovedať Známka: -6.0 Hodnotiť:

Re: ultraumiernený prakticizmus Od: skfkdkskd | Pridané: 24.7.2024 16:44 B) iba zeby nie. Ktokolvek moze ako nemoze, lenze na to mame GPDR. Odpovedať Hodnotiť:

ultraradikálny ohľaduplnizmus Od: syntaxterrorXXX, . Y | Pridané: 24.7.2024 17:04 Žiadne B. Pokiaľ sú platy duchovných vo výdavkoch štátneho rozpočtu, zákony EU neumožňujú vyvolávať ich transpozíciou priekazne diskriminačné konanie. Odpovedať Známka: -6.7 Hodnotiť:

Re: Lyta ZkrachZneuzNasranAChudobna a priekazne priebezne frflajuca nadavajuca Od: LytaRyta Hochbatnica 3-ryba | Pridané: 25.7.2024 4:37 svabov ne, vrabcov! a holiiccataa! hej, marinovanych v kofole, a obcas aj v kavovo-likerovom naleve (fernet, jagrik, /rum) Odpovedať Známka: -3.3 Hodnotiť:

NSA, CIA Od: Kicko | Pridané: 24.7.2024 13:31 Tak na pohovore v trojpismenkovych agentúrach bol už v sobotu, teraz má čas aj na kongres. Odpovedať Známka: 10.0 Hodnotiť:

Definicie? Od: Brano2 | Pridané: 24.7.2024 16:08 Ak v chybnom update boli len definície, bez kódu, niečo je veľmi zle. Ako môže definícia prepísať pointer na nulový? Nedivil by som sa, keby bol ten certifikovaný kernel driver len spúšťač pravidelne dodávaného kódu v týchto definíciách. Ak áno, tak utekať od takejto "security" firmy čo vlastne funguje na obchádzaní bezpečnosti. Odpovedať Známka: 7.1 Hodnotiť:

Re: Definicie? Od: Rhrjfjfj | Pridané: 25.7.2024 7:10 Nie vsetko je napisane robustne, aj ked by malo. Toto ide vo vsetkych programovacich jazykoch. Staci na jednom mieste odchytit vynimku a navratova hodnota (inak nikdy null) je zrazu null. Alebo neskontrolovat chybovy stav. A ako spravit chybovu definiciu? Typicky sa na to pouziva nieco strukturovane - pre jednoduchost si prestav XML, aj ked konkretny format je iny. Staci nieco ako nevalidny tag alebo viac "vacsitiek" (gt) za sebou a hned mas chybu. Odpovedať Hodnotiť:

tak ako to je? Od: ffdf | Pridané: 24.7.2024 20:27 "bolo potrebné odstrániť chybný súbor aktualizácií." Písali že konfiguračný súbor! a pritom bolo treba odstrániť nejaký .sys A to sa pri tom update reštartovali PC aj servery?? Alebo to bol update za behu ako na Linuxe jadro??? To predsa Win nedokážu! Ešte sa mi nikdy nestalo, aby mi pri nejakej aktualizácii niečoho zmodralo! Odpovedať Hodnotiť:

Re: tak ako to je? Od: hggvvbbbnjj | Pridané: 25.7.2024 10:19 kernelovy drajver v pohode zlikviduje cely os ;) Odpovedať Hodnotiť:

Re: tak ako to je? Od: ffdf | Pridané: 25.7.2024 14:32 No to mi je jasné...ale deje sa to za pochodu?? Odpovedať Hodnotiť:

Pridať komentár