CrowdStrike Releases Root Cause Analysis of Falcon Sensor BSOD Crash
2024/08/06 SecurityWeek — 窮地に立たされている CrowdStrike が、8月6日に発表したのは、この7月に世界中の Windows システムを麻痺させたソフトウェア・アップデートのクラッシュに関する、原因分析レポート (External Technical Root Cause Analysis) である。そこで同社は、このインシデントの原因は、セキュリティの脆弱性とプロセスのギャップが重なったことだと説明している。
そのレポートで、Falcon EDR センサーのクラッシュの要因として挙げられているのは、Content Validator により検証された入力と Content Interpreter に提供された入力の不一致/Content Interpreter の境界外読取りの問題/特定のテストの欠落などである。CrowdStrike は、Windows カーネルへの安全で信頼性の高いアクセスについて、Microsoft と連携して取り組むことを誓約している。
CrowdStrike はレポートで、以下のように説明している。
- 問題のコンテンツを取り込んだ、Channel File 291 の新バージョンを受信したセンサーは、コンテンツ・インタープリタの潜在的な境界外読み出しの問題にさらされた。OS からの次の IPC 通知で、新しい IPC テンプレート・インスタンスが評価され、21 番目の入力値との比較が指定された。しかし、コンテンツ・インタープリターは 20個の値までしか想定していなかった。
- そのため、21番目の値にアクセスしようとすると、入力データ配列の終端を越えて境界外のメモリ読み出しが発生し、システム・クラッシュが生じた。
- この Channel File 291 のシナリオは、現在では再現不可能だ。それは、CrowdStrike が、さらなる耐障害性の向上を確実にするために導入している、プロセスの改善と緩和策を示すものでもある。
同社は、システム・ブート・プロセスの早い段階でロードされる、カーネル・ドライバにより Falcon センサーは、ユーザー・モード・プロセスが開始する前に起動するマルウェアを観測/防御できると述べている。それにより、ユーザー空間におけるセキュリティ機能の、新たなサポートを活用するためにエージェントを更新し、カーネル・ドライバへの依存度を下げることを約束している。
CrowdStrike は、「Windows の新バージョンがユーザー空間で、より多くのセキュリティ機能を実行するためのサポートを導入すると、このサポートを利用するために、CrowdStrike はエージェントを更新する。機能の僅かな部分であるにしてもカーネル・ドライバに依存しない、堅牢なセキュリティ製品をサポートするために、Windows エコシステムには重要な課題が残されている。ユーザー空間におけるセキュリティ製品のニーズに対して、Windows がサポートを追加していく中で、我々は継続的に Microsoft と協力していくことを約束する」と述べている。
さらに CrowdStrike は、Falcon センサーにおけるコードの安全性と品質保証のための広範なレビューを実施するために、2つの独立したサードパーティのソフトウェア・セキュリティ・ベンダーを雇ったと発表した。 この二社は、開発からデプロイメントまでの、エンドツーエンドの品質プロセスについて、特に 7月19日から影響を受けたコードに焦点を当てたかたちで、独立したレビューが進行中であると述べている。
CrowdStrike による原因分析レポートは、世界的な技術障害でデルタ航空が被った損害の責任の所在をめぐって、二社が公に争う中で発表された。デルタ航空の CEO は、数千便の欠航に関連して $500M の損益が発生し、その対処に余分なコストが発生したとして、CrowdStrike を訴えると述べている。
この CrowdStrike のレポートですが、PDF で 12ページの長編となっています。この先、どのような展開になるのか、まだ分からないところが多いですが、Delta に落ち度があるようにも思えます。よろしければ、以下のリストも、ご参照ください。
2024/08/05:デルタ航空は障害解決のための無償支援を拒否していた?
2024/07/31:CrowdStrike を 巡る訴訟: Microsoft も巻き込む Delta
2024/07/27:Fortune 500 の損失額は $5.4B に達する – CrowdStrike
2024/07/26:CrowdStrike 障害:97% の復旧と損失額の推定
2024/07/25:CrowdStrike への侵入に成功:USDoD の主張の信憑性は?
2024/07/24:CrowdStrike の事後レビュー:インシデント発生の理由
2024/07/23:CrowdStrike の Kernel Panic:4月の時点で Linux にも
2024/07/23:CEO が議会での証言を要請された- CrowdStrike
2024/07/21:Microsoft が CrowdStrike リカバリ・ツールを公開
2024/07/21:混乱に乗じてマルウェアやデータ・ワイパーが配布される
2024/07/21:850万台の Windows マシンに影響 – CrowdStrike
2024/07/19:CrowdStrike アップデートで Windows がクラッシュ
IoT OT Security News 
You must be logged in to post a comment.