Офіційна заява CrowdStrike щодо оновлення вмісту Falcon для хостів Windows
Звернення генерального директора CrowdStrike:
Шановні клієнти та партнери,
Хочу щиро вибачитися перед усіма вами за сьогоднішній збій. Всі в CrowdStrike усвідомлюють вагомість і вплив цієї ситуації. Ми швидко виявили проблему і впровадили виправлення, що дозволило нам зосередитися на відновленні систем клієнтів як нашого найвищого пріоритету.
Збій стався через дефект, виявлений у оновленні вмісту Falcon для хостів Windows. Хости Mac та Linux не постраждали. Це не була кібератака.
Ми тісно співпрацюємо з постраждалими клієнтами та партнерами, щоб забезпечити відновлення всіх систем, аби ви могли надавати послуги, на які покладаються ваші клієнти.
CrowdStrike працює у звичайному режимі, і ця проблема не впливає на системи нашої платформи Falcon. Якщо сенсор Falcon встановлено, захист не постраждав. Сервіси Falcon Complete та Falcon OverWatch не порушені.
Ми будемо надавати постійні оновлення через наш Портал Підтримки та через блог CrowdStrike. Будь ласка, продовжуйте відвідувати ці сайти для отримання останніх новин.
Ми мобілізували всю команду CrowdStrike, щоб допомогти вам і вашим командам. Якщо у вас є питання або вам потрібна додаткова підтримка, будь ласка, зверніться до вашого представника CrowdStrike або технічної підтримки.
Ми знаємо, що зловмисники та злочинні організації спробують скористатися цими подіями. Я закликаю всіх залишатися пильними та переконатися, що ви спілкуєтеся з офіційними представниками CrowdStrike. Наш блог та технічна підтримка продовжуватимуть бути офіційними каналами для останніх оновлень.
Ніщо не є більш важливим для мене, ніж довіра та впевненість, яку наші клієнти та партнери вклали в CrowdStrike. У міру вирішення цього інциденту, я беру на себе зобов’язання забезпечити повну прозорість того, як це сталося, і кроки, які ми вживаємо, щоб запобігти повторенню чогось подібного.
Джордж Курц
Засновник та генеральний директор CrowdStrike
Що сталося?
19 липня 2024 року о 04:09 UTC, в рамках виконання планових робіт, CrowdStrike випустив оновлення конфігурації сенсорів для систем Windows. Оновлення конфігурації сенсорів є постійною частиною механізмів захисту платформи Falcon. Це оновлення конфігурації спричинило логічну помилку, яка призвела до аварійного завершення роботи системи та появи «синього екрану» (BSOD) на уражених системах.
Оновлення конфігурації сенсора, яке спричинило збій системи, було виправлено у п’ятницю, 19 липня 2024 року о 05:27 за UTC.
Ця проблема не є наслідком кібератаки і не пов’язана з нею.
Вплив
Клієнти, які використовували сенсор Falcon для Windows версії 7.11 і вище, що були в мережі між п’ятницею, 04:09 UTC та п’ятницею 05:27 UTC 19 липня 2024 року, могли зазнати впливу.
Системи, що використовують сенсор Falcon для Windows версії 7.11 і вище, які завантажили оновлену конфігурацію з 04:09 UTC до 05:27 UTC, – були схильні до збою системи.
Основи файлу конфігурації
Згадані вище файлу конфігурації називаються “Channel Files” і є частиною захисних механізмів, які використовує сенсор Falcon. Оновлення Channel Files є звичайною частиною роботи сенсора і відбуваються кілька разів на день у відповідь на нові тактики, техніки та процедури, виявлені CrowdStrike. Це не новий процес; архітектура існує з моменту створення Falcon.
Технічні деталі
На системах Windows Channel Files знаходяться у наступній директорії:
C:WindowsSystem32driversCrowdStrike
і мають ім’я файлу, яке починається з “C-“. Кожному файлу каналу присвоюється номер як унікальний ідентифікатор. Постраждалий файл каналу в цій події має номер 291 і матиме ім’я файлу, яке починається з “C-00000291-” та закінчується розширенням .sys. Хоча Channel Files закінчуються на SYS, вони не є драйверами ядра.
Файл каналу 291 керує тим, як Falcon оцінює виконання іменованих каналів у системах Windows. Іменовані канали використовуються для звичайного, міжпроцесного або міжсистемного зв’язку у Windows.
Оновлення, яке відбулося о 04:09 UTC, було спрямоване на нещодавно виявлені зловмисні іменовані канали, що використовуються поширеними фреймворками C2 в кібератаках. Оновлення конфігурації спричинило логічну помилку, яка призвела до аварійного завершення роботи операційної системи.
Channel File 291
CrowdStrike виправив логічну помилку, оновивши вміст у Channel File 291. Жодних додаткових змін у Channel File 291, крім оновленої логіки, впроваджуватися не буде. Falcon все ще оцінює і захищає від зловживань іменованими каналами.
Це не пов’язано з нульовими байтами, що містяться у Channel File 291 або будь-якому іншому Channel File.
Виправлення
Найсвіжіші рекомендації щодо виправлення та інформацію можна знайти у блозі CrowdStrike або на Порталі підтримки.
Ми розуміємо, що деякі клієнти можуть мати специфічні потреби в підтримці, і просимо їх звертатися до нас безпосередньо.
Системи, які зараз не постраждали, продовжуватимуть працювати як очікується, продовжуватимуть надавати захист і не мають ризику зазнати цієї події в майбутньому.
Системи, що працюють на Linux або macOS, не використовують Channel File 291 і не постраждали.
Аналіз причин
Ми розуміємо, як виникла ця проблема, і проводимо ретельний аналіз причин, щоб визначити, як сталася ця логічна помилка. Ці зусилля будуть триваючими. Ми зобов’язані визначити будь-які фундаментальні або процесуальні поліпшення, які ми можемо внести, щоб зміцнити наш процес. Ми оновимо наші висновки в аналізі причин, коли розслідування просуватиметься.
