信息化觀察網(wǎng)

本文來自微信公眾號(hào)“GoUpSec”。

本周三，CrowdStrike發(fā)布了導(dǎo)致全球大規(guī)模系統(tǒng)崩潰的初步事件評(píng)估報(bào)告（PIR）。

此前業(yè)界傳聞該公司潛入了類似SolarWinds供應(yīng)鏈攻擊的“特工”，但初步調(diào)查結(jié)果顯示是CrowdStrike的更新工具和流程存在漏洞，但CrowdStrike否認(rèn)自己在該事件中存在“不負(fù)責(zé)任”的行為。

CrowdStrike解釋稱，事件的導(dǎo)火索是一次為收集某C2框架新威脅技術(shù)遙測數(shù)據(jù)進(jìn)行的內(nèi)容配置更新。由于內(nèi)容驗(yàn)證器的一個(gè)錯(cuò)誤，未能檢查出模版實(shí)例中包含有問題的內(nèi)容數(shù)據(jù)。（雖然CrowdStrike沒有具體說明是何種C2框架，但一些研究人員認(rèn)為此更新試圖檢測的是Cobalt Strike的新Named Pipe功能。）

測試流程存在嚴(yán)重漏洞

CrowdStrike藍(lán)屏事件內(nèi)部調(diào)查受到業(yè)界的廣泛關(guān)注，因?yàn)槿藗儾幻靼證rowdStrike為何會(huì)犯下如此低級(jí)的測試流程錯(cuò)誤。

報(bào)告指出，事件的根源是CrowdStrike內(nèi)容更新器的漏洞，對快速響應(yīng)內(nèi)容的漏洞簽名更新檢測不太嚴(yán)格，導(dǎo)致錯(cuò)誤配置通過了驗(yàn)證（同時(shí)又沒有進(jìn)行必要的穩(wěn)定性測試），癱瘓了全球數(shù)百萬臺(tái)Windows系統(tǒng)。

CrowdStrike使用其傳感器內(nèi)容配置系統(tǒng)創(chuàng)建模板實(shí)例來描述要檢測的威脅行為，并通過更新進(jìn)程間通信（IPC）模板類型的配置數(shù)據(jù)（存儲(chǔ)在通道文件中），使Falcon傳感器能夠檢測到主機(jī)設(shè)備上的最新可疑行為。

這些IPC模板實(shí)例通過CrowdStrike稱為“快速響應(yīng)內(nèi)容”的定期內(nèi)容更新進(jìn)行交付，以便在不需要完整更新傳感器的情況下，通過簡單更改配置數(shù)據(jù)來調(diào)整傳感器的檢測能力。

令人吃驚的是，雖然曝出測試工具和流程漏洞，但CrowdStrike辯稱在災(zāi)難發(fā)生之前，該公司已經(jīng)采取了“負(fù)責(zé)任”的行動(dòng)。CrowdStrike的理由是該公司僅僅對一個(gè)已經(jīng)測試并投入生產(chǎn)環(huán)境的組件進(jìn)行了“小的”配置更新，但組件本身經(jīng)過了充分嚴(yán)格的測試。

據(jù)CrowdStrike介紹，導(dǎo)致災(zāi)難性事件的錯(cuò)誤配置所使用的IPC模板類型及其相應(yīng)的模板實(shí)例通過了完整的壓力測試，包括資源利用率、系統(tǒng)性能影響、事件量和對手系統(tǒng)交互等。內(nèi)容驗(yàn)證器檢查并批準(zhǔn)了2024年3月5日、4月8日和4月24日推送的三個(gè)獨(dú)立實(shí)例，未發(fā)現(xiàn)問題。

然而，7月19日部署的兩個(gè)新IPC模板實(shí)例中包含一個(gè)錯(cuò)誤配置，由于內(nèi)容驗(yàn)證器的漏洞而未被發(fā)現(xiàn)。由于對之前測試和成功部署的（通道文件291的）IPC模板類型的信任，更新未經(jīng)過額外驗(yàn)證，因此未在推送至運(yùn)行Falcon 7.11及更高版本的在線主機(jī)之前被發(fā)現(xiàn)，導(dǎo)致全球大規(guī)模IT停機(jī)。

盡管CrowdStrike在發(fā)現(xiàn)錯(cuò)誤后立即撤回了更新，但為時(shí)已晚。約850萬臺(tái)Windows系統(tǒng)在內(nèi)容解釋器處理新的配置更新時(shí)發(fā)生越界內(nèi)存讀取并崩潰。

整改：增加五種附加測試

為了防止類似事件再次發(fā)生，CrowdStrike正在更新流程中增加多個(gè)附加測試，具體包括：

●本地開發(fā)人員測試：確保每個(gè)更新在部署前都經(jīng)過開發(fā)人員的本地測試。

●內(nèi)容更新和回滾測試：在推出之前進(jìn)行全面的內(nèi)容更新和回滾測試。

●壓力測試、模糊測試和故障注入：通過多種測試方法確保更新的穩(wěn)定性。

●穩(wěn)定性測試：評(píng)估更新對系統(tǒng)穩(wěn)定性的影響。

●內(nèi)容接口測試：驗(yàn)證內(nèi)容接口的正確性和安全性。

此外，CrowdStrike還將對內(nèi)容驗(yàn)證器增加額外的驗(yàn)證檢查，并改進(jìn)內(nèi)容解釋器中的錯(cuò)誤處理機(jī)制，以避免類似錯(cuò)誤導(dǎo)致Windows機(jī)器無法運(yùn)行。

在快速響應(yīng)內(nèi)容部署方面，CrowdStrike計(jì)劃進(jìn)行以下更改（尤其值得注意的變化是將更新時(shí)間和地點(diǎn)的控制權(quán)交給客戶）：

●實(shí)施交錯(cuò)部署策略，從小型金絲雀部署開始，然后逐漸擴(kuò)展。

●改進(jìn)部署期間對傳感器和系統(tǒng)性能的監(jiān)控，使用反饋來指導(dǎo)分階段推出。

●為客戶提供對快速響應(yīng)內(nèi)容更新交付的更多控制權(quán)限，允許客戶選擇何時(shí)何地部署更新。

●通過發(fā)布說明提供內(nèi)容更新詳情，客戶可以訂閱以獲取及時(shí)信息。

最后，CrowdStrike承諾將在未來發(fā)布更詳細(xì)的事件原因分析報(bào)告，內(nèi)部調(diào)查完成后將公布更多細(xì)節(jié)。