Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

CrowdStrike deckt die Ursache für weltweite Systemausfälle auf

Das Cybersecurity-Unternehmen CrowdStrike hat seine Ursachenanalyse für den Absturz des Software-Updates Falcon Sensor veröffentlicht, der weltweit Millionen von Windows-Geräten lahmgelegt hat.

Lesezeit 4 Min.

Der „Channel File 291″-Vorfall, der ursprünglich im Preliminary Post Incident Review (PIR) hervorgehoben wurde, geht auf ein Validierungsproblem zurück, das nach der Einführung eines neuen Vorlagentyps entstand. Dieser sollte die Sichtbarkeit und Erkennung neuer Angriffstechniken ermöglichen, die benannte Pipes und andere Windows-Interprozesskommunikationsmechanismen (IPC) missbrauchen.

Konkret geht es um ein problematisches Inhaltsupdate, das über die Cloud bereitgestellt wurde. Das Unternehmen beschreibt es als „Zusammenfluss“ mehrerer Mängel, die zu einem Absturz führten – der auffälligste davon ist eine Diskrepanz zwischen den 21 Eingaben, die über den IPC-Schablonentyp an den Content Validator übergeben wurden, und den 20 Eingaben, die an den Content Interpreter geliefert wurden.

CrowdStrike sagte, dass die Parameterabweichung während des mehrstufigen Testprozesses nicht entdeckt wurde, was zum Teil auf die Verwendung von Wildcard-Matching-Kriterien für die 21. Eingabe während des Tests und in den ersten IPC-Vorlageninstanzen zurückzuführen ist, die zwischen März und April 2024 ausgeliefert wurden. Mit anderen Worten, die neue Version der Channel-Datei 291, die am 19. Juli 2024 veröffentlicht wurde, war die erste IPC-Template-Instanz, die das 21. Eingabefeld nutzte. Da es keinen speziellen Testfall für nicht-Wildcard-Matching-Kriterien im 21. Feld gab, wurde dies erst bemerkt, nachdem der Rapid Response Content an die Sensoren ausgeliefert worden war.

„Sensoren, welche die neue Version der Kanaldatei 291 mit dem problematischen Inhalt erhielten, waren einem latenten Out-of-Bounds-Leseproblem im Content Interpreter ausgesetzt“, so das Unternehmen. „Mit der nächsten IPC-Benachrichtigung vom Betriebssystem wurden die neuen IPC-Template-Instanzen ausgewertet, wobei ein Vergleich mit dem 21. Eingabewert spezifiziert wurde. Der Content Interpreter erwartete jedoch nur 20 Werte. Daher führte der Versuch, auf den 21. Wert zuzugreifen, zu einem Lesezugriff außerhalb der Grenzen des Eingabedatenarrays und verursachte einen Systemabsturz.“

Um das Problem zu beheben, hat CrowdStrike mehrere Maßnahmen ergriffen. Erstens wurde die Anzahl der Eingabefelder im Schablonentyp bei der Sensorkompilierung validiert. Zweitens wurde dem Content Interpreter eine Überprüfung der Grenzen des Eingabedatenarrays zur Laufzeit hinzugefügt, um das Auslesen von Speicher außerhalb der Grenzen zu verhindern. Schließlich wurde die Anzahl der vom IPC-Schablonentyp bereitgestellten Eingaben korrigiert. „Die hinzugefügte Überprüfung der Grenzen verhindert, dass der Content Interpreter einen Out-of-Bounds-Zugriff auf das Input-Array durchführt und das System zum Absturz bringt“, heißt es. „Die zusätzliche Prüfung stellt sicher, dass die Größe des Eingabe-Arrays mit der Anzahl der vom Rapid Response Content erwarteten Eingaben übereinstimmt.

Darüber hinaus plant CrowdStrike, die Testabdeckung während der Entwicklung des Vorlagentyps zu erweitern, um Testfälle für Nicht-Wildcard-Matching-Kriterien für jedes Feld in allen (zukünftigen) Vorlagentypen einzubeziehen.

Weitere Maßnahmen umfassen:

  • Neue Überprüfungen im Inhaltsvalidator, um sicherzustellen, dass Vorlageninstanzen keine überzähligen Felder enthalten.
  • Einschränkung von Wildcard-Kriterien auf das 21. Feld, um Out-of-Bounds-Zugriffe zu verhindern.
  • Aktualisierte Testprozeduren im Inhaltskonfigurationssystem, um sicherzustellen, dass jede neue Vorlage getestet wird.
  • Zusätzliche Bereitstellungsebenen und Akzeptanzprüfungen im Inhaltskonfigurationssystem.
  • Verbesserte Kontrolle über die Auslieferung von Rapid Response Content in der Falcon-Plattform.

Darüber hinaus hat CrowdStrike hat zwei unabhängige Software-Sicherheitsfirmen beauftragt, den Falcon-Sensorkode weiter zu überprüfen, und führt eine unabhängige Überprüfung des gesamten Qualitätsprozesses durch. Außerdem hat sich CrowdStrike verpflichtet, mit Microsoft zusammenzuarbeiten, wenn Windows neue Möglichkeiten zur Ausführung von Sicherheitsfunktionen im Benutzerbereich einführt, anstatt sich auf einen Kernel-Treiber zu verlassen.

„Der Kernel-Treiber von CrowdStrike wird bereits in einer frühen Phase des Systemstarts geladen, damit der Sensor Malware beobachten und abwehren kann, die vor dem Start von Prozessen im Benutzermodus gestartet wird“, heißt es. „Die Bereitstellung aktueller Sicherheitsinhalte (zum Beispiel Rapid Response Content von CrowdStrike) für diese Kernel-Funktionen ermöglicht es dem Sensor, Systeme gegen eine sich schnell entwickelnde Bedrohungslandschaft zu verteidigen, ohne Änderungen am Kernel-Code vorzunehmen. Bei Rapid Response Content handelt es sich um Konfigurationsdaten, nicht um Code oder einen Kernel-Treiber.“

Die Ursachenanalyse kam ziemlich zeitgleich mit einer Erklärung von Delta Air Lines. Die Fluggesellschaft gab darin an, dass sie „keine andere Wahl“ habe, als Schadensersatz von CrowdStrike und Microsoft zu verlangen. Der Grund dafür seien massive Störungen, die dem Unternehmen geschätzte 500 Millionen Dollar an entgangenen Einnahmen und zusätzlichen Kosten durch Tausende von gestrichenen Flügen verursacht hätten.

CrowdStrike und Microsoft haben inzwischen auf die Kritik reagiert. Beide Unternehmen betonten, dass sie keine Schuld an dem tagelangen Ausfall tragen. Sie erklärten, dass Delta ihre Angebote für eine Vor-Ort-Unterstützung abgelehnt habe. Dies deutet darauf hin, dass die Probleme der Fluggesellschaft tiefer liegen könnten als der Ausfall ihrer Windows-Rechner aufgrund des fehlerhaften Sicherheitsupdates.

CrowdStrike hat jetzt auch Behauptungen zurückgewiesen, dass sein Falcon-Sensor für Privilegieneskalation oder Remote-Code-Ausführung anfällig sei. Das Unternehmen erklärte, dass das Auslesen außerhalb der Grenzen (OOB) des Speichers „keinen Mechanismus bietet, um auf beliebige Speicheradressen zu schreiben oder die Programmausführung zu steuern – selbst unter idealen Umständen, bei denen ein Angreifer den Kernel-Speicher so beeinflussen könnte, dass die ausgelesene Adresse vollständig kontrolliert wird.“

Diese Erklärung kommt als Reaktion auf einen Bericht der chinesischen Sicherheitsforschungsfirma Qihoo 360, der besagt, dass der Sensorfehler, der Millionen von Windows-Computern zum Absturz brachte, für Privilegieneskalation und Remote-Code-Ausführung genutzt werden könnte.

„Es gibt keine Wege, die zu zusätzlicher Speicherbeschädigung oder Kontrolle der Programmausführung führen,“ so Crowdstrike. Außerdem wurden „mehrere Schutzebenen implementiert, um Manipulationen an den Channel-Dateien zu verhindern“. Dazu zählen zum Beispiel Zertifikatspinning, Prüfungsvalidierung, Zugriffskontrolllisten für Channel-Dateien und Manipulationserkennungen.

Diesen Beitrag teilen: