Atualizado em 13-08-2024 1700 UTC
Resumo executivo do Arquivo de Canal 291 RCA
Este documento traz um resumo executivo das conclusões do relatório Análise da Causa Raiz (RCA) da CrowdStrike. O relatório completo detalha as informações anteriormente compartilhadas em nossa Revisão Pós-Incidente (RPI) preliminar, fornecendo mais detalhes sobre as descobertas, mitigações, detalhes técnicos e análise da causa raiz do incidente. Este documento é uma tradução da seguinte versão em inglês: [https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/]. A versão traduzida é fornecida apenas para fins de referência e praticidade. Em caso de qualquer conflito ou ambiguidade, a versão em inglês sempre prevalecerá e terá precedência.
Baixe o PDF da análise da causa raiz
Introdução
A CrowdStrike foi fundada com a missão de proteger os clientes contra os adversários e interromper ataques. Em 19 de julho de 2024, como parte das operações regulares, a CrowdStrike lançou uma atualização de configuração de conteúdo (por meio de arquivos de canal) para o sensor Windows que resultou em uma falha do sistema. Pedimos sinceras desculpas.
Reconhecemos os esforços contínuos dos nossos clientes e parceiros que, trabalhando junto com as nossas equipes, se mobilizaram de forma imediata para restaurar sistemas e colocar muitos de volta online em poucas horas. Em 29 de julho de 2024, às 20h EDT, quase 99% dos sensores Windows estavam online, em comparação a antes da atualização do conteúdo. Normalmente, vemos uma variação de quase 1% semana após semana nas conexões de sensores. Para qualquer cliente ainda afetado, saiba que não descansaremos até que todos os sistemas sejam restaurados.
O que aconteceu?
O sensor CrowdStrike Falcon oferece inteligência artificial e machine learning para proteger os sistemas dos clientes, identificando e remediando as ameaças avançadas mais recentes. Em fevereiro de 2024, a CrowdStrike apresentou uma nova capacidade de sensor para permitir a visibilidade de possíveis novas técnicas de ataque que podem abusar de certos mecanismos do Windows. Essa capacidade predefiniu um conjunto de campos para que o Conteúdo de Resposta Rápida colete dados. Conforme descrito no RCA, essa nova capacidade de sensor foi desenvolvida e testada de acordo com nossos processos padrão de desenvolvimento de software.
Em 5 de março de 2024, após um teste de estresse bem-sucedido, o primeiro Conteúdo de Resposta Rápida do Arquivo de Canal 291 foi lançado para produção como parte de uma atualização de configuração de conteúdo, com três atualizações adicionais de Resposta Rápida implementadas entre 8 de abril de 2024 e 24 de abril de 2024. Eles tiveram o desempenho esperado na produção.
Em 19 de julho de 2024, uma atualização de Conteúdo de Resposta Rápida foi entregue a determinados hosts do Windows, evoluindo a nova capacidade lançada pela primeira vez em fevereiro de 2024. O sensor esperava 20 campos de entrada, enquanto a atualização fornecia 21 campos de entrada. Nesse caso, a incompatibilidade resultou em uma leitura de memória fora dos limites, causando uma falha no sistema. Nossa análise, juntamente com uma análise de terceiros, confirmou que esse bug não pode ser explorado por um ator de ameaças.
Embora esse cenário com o Arquivo de Canal 291 agora não possa se repetir, este informa os aperfeiçoamentos do processo e as etapas de mitigação que a CrowdStrike está implementando para garantir ainda mais resiliência.
O que fizemos e o que vem a seguir
Com base nas descobertas da RCA, aqui estão algumas das ações da CrowdStrike que já estão em andamento e que podem ser executadas no futuro:
- Atualizar os procedimentos de teste do Sistema de Configuração de Conteúdo. Este trabalho foi concluído. Isso inclui testes atualizados para o desenvolvimento de tipos de modelos, com testes automatizados para todos os tipos de modelos existentes. Os tipos de modelo fazem parte do sensor e contêm campos predefinidos para os engenheiros de detecção de ameaças aproveitarem no Conteúdo de Resposta Rápida.
- Adicionar camadas de implementação adicionais e verificações de aceitação para o Sistema de Configuração de Conteúdo. Esse trabalho foi concluído com um processo de implantação atualizado, garantindo que as Instâncias de Modelo passem por implementação sucessiva antes da distribuição para produção.
- Fornecer aos clientes controle adicional sobre a implementação de atualizações do Conteúdo de Resposta Rápida. Novas capacidades foram implementadas e implantadas em nossa nuvem, permitindo que os clientes controlem como o Conteúdo de Resposta Rápida é implementado, com funcionalidades adicionais planejadas para o futuro.
- Evitar a criação de arquivos problemáticos do canal 291. A validação do número de campos de entrada foi implementada para evitar que esse problema aconteça.
- Implementar verificações adicionais no Validador de Conteúdo. Verificações adicionais estão planejadas para entrar em produção até 19 de agosto de 2024.
- Aprimorar a verificação de limites no Interpretador de Conteúdo para Conteúdo de Resposta Rápida no Arquivo de Canal 291. A verificação de limites foi adicionada em 25 de julho de 2024, com disponibilidade geral prevista para 9 de agosto de 2024. Essas correções estão sendo levadas para todas as versões 7.11 e superiores do sensor Windows por meio de uma versão de hotfix de software de sensor.
- Engajar dois fornecedores independentes de segurança de software para realizar uma análise mais aprofundada do código do sensor Falcon e dos processos de liberação e controle de qualidade de ponta a ponta. Esse trabalho já começou e será contínuo como parte do nosso foco em segurança e resiliência por projeto.
Para saber mais detalhes e termos, consulte o RCA.