Уязвимость в Falcon Sensor стала причиной миллиардных убытков и массовых отключений устройств.
ИБ-компания CrowdStrike рассказала о причинах сбоя программного обеспечения Falcon Sensor, который нарушил работу миллионов устройств на базе Windows по всему миру.
Инцидент под названием «Channel File 291» был вызван проблемой проверки содержимого после введения нового типа шаблона для обнаружения новых техник атак, использующих именованные каналы и другие механизмы межпроцессного взаимодействия (IPC) Windows.
Новый тип шаблона привел к несоответствию параметров: 21 входной параметр, переданный в Content Validator, вместо ожидаемых 20, которые были предоставлены Content Interpreter. Несоответствие не было выявлено во время тестирования и стало причиной сбоя. В результате сенсоры, получившие новое обновление, столкнулись с проблемой чтения за пределами памяти, что привело к сбоям системы.
Другими словами, новая версия файла Channel File 291, выпущенная 19 июля, стала первым экземпляром шаблона IPC, использующим 21-й параметр. Отсутствие конкретного теста для критериев соответствия без подстановочных знаков в 21-м поле означало, что проблема не была выявлена до отправки быстрого обновления контента на датчики.
CrowdStrike внесла изменения для предотвращения подобных проблем в будущем. Были добавлены проверки границ массива ввода и увеличено количество тестов для новых шаблонов. Компания также привлекла сторонних экспертов для анализа кода и улучшения качества. Кроме того, платформа Falcon была обновлена для большего контроля клиентов над доставкой обновлений.
Неполадки с софтом CrowdStrike быстро привели к ряду серьёзных проблем в различных организациях по всему миру. Среди таких проблем, например:
Инцидент быстро отразился и на положении CrowdStrike на фондовом рынке. В моменте цена за акцию компании обвалилась на целых 20%, что неприлично много для изменений в рамках одного дня.
Parametrix, один из ведущих поставщиков услуг облачного мониторинга, моделирования и страхования, оценил в 5,4 миллиарда долларов прямой финансовый ущерб для американских компаний из списка Fortune 500 (за исключением Microsoft), пострадавших из-за сбоя CrowdStrike.
Большой взрыв знаний каждый день в вашем телефоне