Detalhes Técnicos sobre a Interrupção de 19 de Julho de 2024

20 de julho de 2024

|CrowdStrike |Pontode vista executivo

 

O que aconteceu?

Em 19 de julho de 2024, às 04:09 UTC, como parte das operações em andamento, a CrowdStrike lançou uma atualização de configuração do sensor para sistemas Windows. As atualizações de configuração do sensor são uma parte contínua dos mecanismos de proteção da plataforma Falcon. Essa atualização de configuração acionou um erro lógico que resultou em uma falha do sistema e uma tela azul (BSOD) nos sistemas afetados.

A atualização da configuração do sensor que causou a falha do sistema foi corrigida na sexta-feira, 19 de julho de 2024, às 05:27 UTC.

Esse problema não é resultado de um ataque cibernético ou está relacionado a ele.

Impacto

Os clientes que executam o sensor Falcon para Windows versão 7.11 e superior, que estavam on-line entre sexta-feira, 19 de julho de 2024 04:09 UTC e sexta-feira, 19 de julho de 2024 05:27 UTC, podem ser afetados. 

Os sistemas que executam o sensor Falcon para Windows 7.11 e superior que baixaram a configuração atualizada das 04:09 UTC às 05:27 UTC estavam suscetíveis a uma falha no sistema.

Manual do arquivo de configuração

Os arquivos de configuração mencionados acima são chamados de “Arquivos de Canal” e fazem parte dos mecanismos de proteção comportamental usados pelo sensor Falcon. As atualizações dos Arquivos de Canal são uma parte normal da operação do sensor e ocorrem várias vezes ao dia em resposta a novas táticas, técnicas e procedimentos descobertos pela CrowdStrike. Esse não é um processo novo; a arquitetura está em vigor desde o início do Falcon.

Detalhes técnicos

Nos sistemas Windows, os arquivos de canal residem no seguinte diretório:

C:\Windows\System32\drivers\CrowdStrike\

e têm um nome de arquivo que começa com “C-“. Cada arquivo de canal recebe um número como identificador exclusivo. O arquivo de canal afetado nesse evento é o 291 e terá um nome de arquivo que começa com “C-00000291-” e termina com uma extensão.sys. Embora os arquivos de canal terminem com a extensão SYS, eles não são drivers do kernel.

O arquivo de canal 291 controla como o Falcon avaliaa execução dopipe¹nomeado em sistemas Windows. Os pipes nomeados são usados para comunicação normal, entre processos ou entre sistemas no Windows.

A atualização que ocorreu às 04:09 UTC foi projetada para atingir pipes nomeados maliciosos recém-observados que estão sendo usados por estruturas C2 comuns em ataques cibernéticos. A atualização da configuração acionou um erro lógico que resultou em uma falha no sistema operacional. 

Arquivo de canal 291

A CrowdStrike corrigiu o erro de lógica atualizando o conteúdo do arquivo de canal 291. Nenhuma alteração adicional no Channel File 291 além da lógica atualizada será implementada. O Falcon ainda está avaliando e protegendo contra o abuso de pipes nomeados. 

Isso não está relacionado a bytes nulos contidos no arquivo de canal 291 ou em qualquer outro arquivo de canal. 

Remediação

As recomendações e informações de correção mais atualizadas podem ser encontradas em nosso blog ou no Portal de Suporte. 

Entendemos que alguns clientes podem ter necessidades específicas de suporte e pedimos que eles entrem em contato conosco diretamente.

Os sistemas que não foram afetados no momento continuarão a operar conforme o esperado, continuarão a fornecer proteção e não correm o risco de passar por esse evento no futuro.

Os sistemas que executam o Linux ou o macOS não usam o arquivo de canal 291 e não foram afetados. 

Análise da causa raiz

Entendemos como esse problema ocorreu e estamos fazendo uma análise completa da causa raiz para determinar como essa falha lógica ocorreu. Esse esforço será contínuo. Estamos empenhados em identificar quaisquer melhorias fundamentais ou de fluxo de trabalho que possamos fazer para fortalecer nosso processo. Atualizaremos nossas descobertas na análise da causa raiz à medida que a investigação avançar.

 

¹ https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes