CrowdStrike révèle la cause profonde des interruptions du système global

CrowdStrike révèle la cause profonde des interruptions du système global
Share on Pinterest Share on LinkedIn

L’entreprise de cybersécurité CrowdStrike a publié son analyse de cause fondamentale concernant la défaillance dans la mise à jour du logiciel Falcon Sensor, qui a paralysé des millions d’appareils Windows dans le monde entier. L’incident, connu sous le nom de « Fichier de canal 291 », a été détaillé dans leur Revue préliminaire après incident (PIR), révélant un problème de validation de contenu qui a émergé après l’introduction d’un nouveau type de gabarit pour détecter des techniques d’attaque abusant des tuyaux nommés et d’autres mécanismes de communication entre processus (IPC) de Windows.

La cause du problème

La mise à jour de contenu problématique, implémentée dans le cloud, a été décrite par CrowdStrike comme une « confluence » de plusieurs lacunes. Le problème le plus remarquable a été un déséquilibre entre les 21 entrées passées au Validateur de contenu via le Type de gabarit IPC et les 20 entrées fournies à l’Interprète de contenu. Ce déséquilibre n’a pas été détecté durant les « multiples couches » du processus de test à cause de l’utilisation de critères de correspondance joker pour l’entrée numéro 21.

La version du Fichier de canal 291, publiée le 19 juillet 2024, a été la première à utiliser le champ de paramètre d’entrée numéro 21, et l’absence d’un cas de test spécifique pour ces critères de correspondance sans jokers signifiait que l’erreur n’a pas été découverte jusqu’après que le contenu de réponse rapide a été envoyé aux capteurs.

Impact et solution du problème

CrowdStrike a expliqué que les capteurs qui ont reçu la nouvelle version du Fichier de canal 291 ont été exposés à un problème de lecture hors limites latent dans l’Interprète de Contenu. Lors de la notification IPC suivante du système d’exploitation, les nouvelles instances de gabarit IPC ont spécifié une comparaison avec la valeur d’entrée numéro 21, provoquant un accès à la mémoire hors des limites et un plantage du système.

Pour résoudre ce problème, CrowdStrike a implémenté plusieurs mesures, y compris la validation du nombre de champs d’entrée dans le type de gabarit pendant la compilation du capteur et l’ajout de contrôles de limites de tableau d’entrée en temps d’exécution à l’interprète de contenu. Ces mesures empêchent les lectures de mémoire hors limites et assurent l’intégrité du système.

Améliorations supplémentaires et révision indépendante

CrowdStrike prévoit également d’augmenter la couverture de tests pendant le développement du type de gabarit pour inclure des cas de test pour les critères de correspondance sans jokers dans tous les champs des futurs types de gabarits. De plus, les modifications suivantes ont été effectuées:

  • Le Validateur de contenu inclut maintenant de nouvelles vérifications pour s’assurer que le contenu dans les instances de gabarit ne dépasse pas le nombre de champs fournis à l’Interprète de contenu.
  • Le système de configuration de contenu a été mis à jour avec de nouvelles procédures de test et des couches supplémentaires de déploiement et de vérification.
  • La plate-forme Falcon a été mise à jour pour offrir aux clients un plus grand contrôle sur la livraison du contenu de réponse rapide.

CrowdStrike a engagé deux fournisseurs de logiciels de sécurité indépendants pour passer en revue de manière exhaustive le code du capteur Falcon et son processus de qualité, du développement à la mise en place. Elle collaborera également avec Microsoft pour explorer de nouvelles façons d’effectuer des fonctions de sécurité dans l’espace utilisateur, au lieu de dépendre d’un pilote du noyau.

Répercussions dans l’industrie

Cette analyse de cause fondamentale est publiée au milieu de critiques significatives, y compris celles de Delta Air Lines, qui demandent des dommages et intérêts à CrowdStrike et Microsoft pour les interruptions massives et les coûts supplémentaires découlant des milliers de vols annulés. CrowdStrike et Microsoft ont répondu, affirmant qu’ils ne sont pas à blâmer pour l’interruption et suggérant que les problèmes de Delta pourraient être plus profonds que la mise à jour de sécurité défectueuse.

La transparence de CrowdStrike dans la publication de son analyse de cause fondamentale et les mesures correctives mises en œuvre soulignent son engagement envers la sécurité et la fiabilité, tout en mettant en lumière les défis continus dans la gestion des mises à jour de sécurité dans des systèmes complexes et distribués à l’échelle mondiale.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

GPMI : la nouvelle interface chinoise qui veut remplacer le HDMI et le DisplayPort

Meta lance Llama 4 : la nouvelle génération de son intelligence artificielle qui défie GPT-4o et Gemini 2.0

OpenAI prépare son assaut sur le hardware avec l’éventuelle acquisition de la startup de Jony Ive pour 500 millions de dollars

Arcep Supervise la Diffusion des Journaux et Magazines

Google, Microsoft, Amazon et IBM se livrent à une compétition pour conquérir l’informatique quantique : voici la course pour l’avenir du traitement des données.

Huawei, leader dans le Quadrant Magique de Gartner 2025 pour les réseaux de centres de données

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.