A CrowdStrike divulgou seu Relatório de Análise de Causa Raiz (RCA), que detalha os motivos da falha nos sistemas em 19 de julho de 2024, resultando em interrupções globais. O incidente foi causado por uma combinação de vulnerabilidades de segurança e falhas nos processos.
A análise identificou diversos fatores que contribuíram para a falha do sensor EDR do Falcon, incluindo uma incompatibilidade entre as entradas validadas por um Validador de Conteúdo e aquelas fornecidas a um Interpretador de Conteúdo, um erro de leitura fora dos limites no Interpretador de Conteúdo, e a ausência de um teste específico. A CrowdStrike comprometeu-se a trabalhar com a Microsoft para assegurar o acesso seguro e confiável ao kernel do Windows.
Segundo a CrowdStrike, os sensores que receberam a nova versão do Channel File 291, contendo conteúdo problemático, foram afetados por um problema de leitura fora dos limites no Interpretador de Conteúdo. Quando o sistema operacional enviou a próxima notificação de IPC, novas instâncias do modelo de IPC foram avaliadas, exigindo uma comparação com o 21º valor de entrada, enquanto o Interpretador de Conteúdo esperava apenas 20 valores. Essa discrepância provocou uma leitura de memória fora dos limites, resultando na falha do sistema.
Embora o problema com o Channel File 291 não possa mais ocorrer, a CrowdStrike implementou melhorias nos processos e medidas de mitigação para aumentar a resiliência. A empresa também explicou que seu driver de kernel, carregado no início do processo de inicialização do sistema, permite que o sensor Falcon detecte e combata malware que pode ser ativado antes do início dos processos no modo de usuário. Eles planejam atualizar seu agente para tirar proveito do novo suporte a funções de segurança no espaço do usuário, reduzindo a dependência do driver de kernel.
"À medida que novas versões do Windows introduzem suporte para a execução de mais funções de segurança no espaço do usuário, a CrowdStrike atualiza seu agente para utilizar esse suporte. O ecossistema do Windows ainda tem muito a avançar para oferecer suporte a um produto de segurança robusto que não dependa de um driver de kernel para algumas de suas funcionalidades. Estamos comprometidos em trabalhar diretamente com a Microsoft continuamente, à medida que o Windows continua a adicionar mais suporte para as necessidades dos produtos de segurança no espaço do usuário", afirmou a empresa em comunicado.
A CrowdStrike também anunciou a contratação de dois fornecedores independentes de segurança de software para realizar uma análise detalhada do código do sensor Falcon, garantindo sua segurança e qualidade. Além disso, uma revisão independente do processo de qualidade, desde o desenvolvimento até a implantação, está em andamento, com foco no código afetado a partir de 19 de julho.
A divulgação dessa análise de causa raiz ocorre em meio a uma disputa pública entre a CrowdStrike e a Delta Airlines sobre a responsabilidade pelos danos causados por uma interrupção global de tecnologia. O CEO da Delta ameaçou processar a CrowdStrike, alegando uma perda de receita de US$ 500 milhões e custos adicionais devido a milhares de voos cancelados.
Tanto a CrowdStrike quanto a Microsoft responderam às críticas, afirmando que não são responsáveis pela interrupção que durou dias. Elas também observaram que a Delta Airlines recusou suas ofertas de assistência no local, sugerindo que os problemas da companhia aérea podem ir além dos sistemas Windows afetados pela atualização de segurança defeituosa.
Via - TCSH
Kommentare