يوضح CrowdStrike حادث يوم الجمعة الذي أدى إلى تعطل الملايين من أجهزة Windows
ألقت شركة الأمن السيبراني CrowdStrike يوم الأربعاء باللوم على مشكلة في نظام التحقق الخاص بها في التسبب في تعطل الملايين من أجهزة Windows كجزء من انقطاع واسع النطاق في أواخر الأسبوع الماضي.
“في يوم الجمعة الموافق 19 يوليو 2024 الساعة 04:09 بالتوقيت العالمي المنسق، وكجزء من العمليات المنتظمة، أصدرت CrowdStrike تحديثًا لتكوين المحتوى لمستشعر Windows لجمع القياس عن بعد حول تقنيات التهديد الجديدة المحتملة،” الشركة قال في المراجعة الأولية لما بعد الحادث (PIR).
“تعد هذه التحديثات جزءًا منتظمًا من آليات الحماية الديناميكية لمنصة Falcon. أدى تحديث تكوين محتوى الاستجابة السريعة الإشكالي إلى تعطل نظام Windows.”
أثر الحادث على مضيفي Windows الذين يستخدمون إصدار المستشعر 7.11 وما فوق والذي كان متصلاً بالإنترنت بين 19 يوليو 2024، الساعة 04:09 بالتوقيت العالمي و05:27 بالتوقيت العالمي وتلقى التحديث. ولم تتأثر أنظمة Apple macOS وLinux.
قالت CrowdStrike إنها تقدم تحديثات تكوين محتوى الأمان بطريقتين، واحدة عبر محتوى المستشعر الذي يتم شحنه مع Falcon Sensor والأخرى من خلال محتوى الاستجابة السريعة الذي يسمح لها بالإبلاغ عن التهديدات الجديدة باستخدام تقنيات مختلفة لمطابقة الأنماط السلوكية.
يُقال إن العطل كان نتيجة لتحديث محتوى الاستجابة السريعة الذي يحتوي على خطأ لم يتم اكتشافه مسبقًا. تجدر الإشارة إلى أن مثل هذه التحديثات يتم تسليمها في شكل مثيلات قالب تتوافق مع سلوكيات محددة – والتي تم تعيينها لأنواع قوالب محددة – لتمكين القياس عن بعد والاكتشاف الجديد.
يتم إنشاء مثيلات القالب، بدورها، باستخدام نظام تكوين المحتوى، وبعد ذلك يتم نشرها على المستشعر عبر السحابة من خلال آلية يطلق عليها اسم ملفات القناة، والتي تتم كتابتها في النهاية على القرص على جهاز يعمل بنظام Windows. يشتمل النظام أيضًا على مكون التحقق من صحة المحتوى الذي يقوم بإجراء فحوصات التحقق من صحة المحتوى قبل نشره.
وأوضح أن “محتوى الاستجابة السريعة يوفر الرؤية والاكتشافات على المستشعر دون الحاجة إلى تغيير رمز المستشعر”.
“يتم استخدام هذه الإمكانية من قبل مهندسي الكشف عن التهديدات لجمع بيانات القياس عن بعد، وتحديد مؤشرات سلوك الخصم وإجراء عمليات الكشف والوقاية. إن محتوى الاستجابة السريعة عبارة عن استدلالات سلوكية، منفصلة ومتميزة عن قدرات الذكاء الاصطناعي الخاصة بالوقاية والكشف الخاصة بـ CrowdStrike.”
يتم بعد ذلك تحليل هذه التحديثات بواسطة مترجم المحتوى الخاص بمستشعر Falcon، والذي يسهل بعد ذلك محرك اكتشاف المستشعر لاكتشاف الأنشطة الضارة أو منعها.
في حين يتم اختبار الضغط على كل نوع قالب جديد لمعلمات مختلفة مثل استخدام الموارد وتأثير الأداء، يمكن إرجاع السبب الجذري للمشكلة، وفقًا لـ CrowdStrike، إلى طرح نوع قالب الاتصال بين العمليات (IPC) في 28 فبراير 2024، التي تم تقديمها لعلم الهجمات التي الأنابيب المسماة.
التسلسل الزمني للأحداث هو كما يلي –
- 28 فبراير 2024 – تطلق CrowdStrike المستشعر 7.11 للعملاء باستخدام نوع قالب IPC الجديد
- 5 مارس 2024 – يجتاز نوع قالب IPC اختبار التحمل ويتم التحقق من صحته للاستخدام
- 5 مارس 2024 – تم إصدار مثيل قالب IPC للإنتاج عبر ملف القناة 291
- 8 – 24 أبريل 2024 – تم نشر ثلاث مثيلات قالب IPC أخرى في الإنتاج
- 19 يوليو 2024 – تم نشر مثيلين إضافيين لقالب IPC، أحدهما يجتاز التحقق من الصحة على الرغم من وجود بيانات محتوى بها مشكلات
“استنادًا إلى الاختبار الذي تم إجراؤه قبل النشر الأولي لنوع القالب (في 5 مارس 2024)، والثقة في عمليات التحقق التي تم إجراؤها في أداة التحقق من المحتوى، وعمليات نشر مثيلات قالب IPC الناجحة السابقة، تم نشر هذه المثيلات في الإنتاج،” قالت CrowdStrike. .
“عند استلامه بواسطة المستشعر وتحميله في مترجم المحتوى، أدى المحتوى الذي به مشكلة في ملف القناة 291 إلى قراءة ذاكرة خارج الحدود مما أدى إلى حدوث استثناء. لا يمكن التعامل مع هذا الاستثناء غير المتوقع بأمان، مما أدى إلى تعطل نظام التشغيل Windows ( الموت الزرقاء).”
ردًا على الاضطرابات الشاملة الناجمة عن التعطل ومنع حدوثها مرة أخرى، قالت الشركة التي يقع مقرها في تكساس إنها قامت بتحسين عمليات الاختبار الخاصة بها وعززت آلية معالجة الأخطاء في مترجم المحتوى. كما تخطط أيضًا لتنفيذ إستراتيجية نشر متدرجة لمحتوى الاستجابة السريعة.
إرسال التعليق