CrowdStrike Dismisses Claims of Exploitability in Falcon Sensor Bug
2024/08/08 SecurityWeek — CrowdStrikeは、何百万台ものWindows コンピュータを BSOD にした Falcon EDR センサーのバグについて、特権の昇格やリモートコード実行に悪用される可能性があるという、中国のセキュリティ調査会社の主張を否定している。Qihoo 360 が公開した技術文書 (翻訳を参照) によると、BSOD ループの直接の原因は、オペコード検証中のメモリ破損の問題であり、潜在的なローカル特権の昇格やリモートコード実行攻撃にドアを開いているとされる。
Qihoo 360 は、「メモリのダイレクトな制御が不可能に見えるが、”CSAgent.sys” の仮想マシン・エンジンは実際には Turing-complete であり、たとえば Duqu ウイルスが “atmfd.dll” のフォント仮想マシンを悪用するように、特定の利用技術で外部 (OS カーネル) メモリを完全に制御し、コード実行権限を取得できる。 綿密な分析の結果として、LPE または RCE の脆弱性の条件を満たしていることが判明した」と述べている。
この問題に関する、技術的な根本原因分析が発表された翌日に、CrowdStrike が発表したのは、”不正確な報告と虚偽の主張 “を否定する文書である。
CrowdStrike の VP Adam Meyers は、「攻撃者がカーネル・メモリに影響を与えることができる状況にあっても、任意のメモリ・アドレスへの書き込みやプログラムの実行を制御するメカニズムを、このバグが提供することなない。ピアレビューを受けて、当社が分析した結果は、特権の昇格やリモートコード実行を達成するために、Channel File 291 インシデントを悪用できない理由を概説している」と述べている。
Meyers は、「このバグは、20件の入力を想定していた一方で、コードが 21件の入力を実行したことで、境界外読み取りにつながった。攻撃者が、読み取り値を完全に制御できたとしても、その値を使用できるのは、正規表現を含む文字列としてのみである。当社では、OOB リードに続くコードパスを詳細に調査したが、追加のメモリ破壊やプログラムの実行制御につながるパスは存在しなかった」と宣言している。
CrowdStrike はチャネル・ファイルの改ざんを防止するために、複数の保護レイヤーを実装している。それらの安全策により、悪意の目的のために、攻撃者が OOB リードを活用することは極めて困難であると、Meyers は指摘している。
Meyers は、「任意の悪意のチャネル・ファイルを、センサーに提供することが可能であるという主張は誤りだ。チャネル・ファイルなどのアセットが CrowdStrike のサーバから配信され、ローカル・ディスクに保存される際に、改ざんを防止するセンサー内の複数の保護機能により、この種の攻撃は防止される」と述べている。
彼は、「当社は、証明書のピン留め/チェックサムの検証/ディレクトリとファイルに対する ACL/改ざん防止検知を行い、チャネル・ファイル脆弱性の、攻撃者による悪用を極めて困難にしている」と付け加えている。
さらに CrowdStrike は、プロキシ設定を変更して Web リクエスト (CrowdStrike トラフィックを含む) を悪意のサーバへと向ける攻撃について言及し、悪意のプロキシが TLS 証明書のピン留めを克服して、センサーに変更されたチャネル・ファイルをダウンロードさせることは不可能だと反論している。
- 境界外読み出しのバグは、深刻な問題であるため、すでに対処済みである。ただし、任意のメモリ書き込みやプログラム実行のための、制御の経路を提供するものではなかった。つまり、悪用の可能性は大幅に制限されていた。
- Falcon コンセンサーは、チャネル・ファイルの完全性を保護するために、多層的なセキュリティ・コントロールを採用している。そこに含まれるものには、証明書のピン留めやチェックサム検証のような暗号化対策、および、アクセス制御リストや改ざん防止検知のような、システム・レベルの保護がある。
- 我々の文字列マッチング演算子の逆アセンブルは、表面的には仮想マシンに似ているかもしれないが、現実の実装では、メモリアクセスと状態操作に厳しい制限がある。この設計により、計算の完全性にかかわらず、悪用の可能性は大幅に制限される。
- 当社の内部セキュリティ・チームと、2社の独立系サードパーティー・セキュリティ・ベンダーは、Qihoo 360 の一連の主張と、その基礎となるシステム・アーキテクチャを厳密に調査した。この共同アプローチにより、センサーのセキュリティ態勢を包括的に評価できた。
以前において CrowdStrike は、今回のインシデントは、セキュリティの脆弱性とプロセスのギャップが重なったことに起因するとし、安全性と信頼性を担保した Windows カーネルへアクセスについて、Microsoft と協力することを誓約している。
CrowdStrike と Delta の戦いに Microsoft も巻き込まれ、同社による反論が展開されたと思ったら、今度は中国の Qihoo 360 が、CrowdStrike の脆弱性を指摘するという、新たな展開に至っています。ただし、CrowdStrike の主張は、アップデート・ファイルの問題と脆弱性があったが、後者とシステム停止は無関係というものです。いつまで論争が続くのでしょうか・・・
2024/08/06:$500M の損害を主張するデルタ航空:Microsoft が反撃
2024/08/06 :Falcon の BSOD クラッシュ分析のレポートが公開
2024/08/05:デルタ航空は障害解決のための無償支援を拒否していた?
2024/07/31:CrowdStrike を 巡る訴訟: Microsoft も巻き込む Delta
2024/07/27:Fortune 500 の損失額は $5.4B に達する – CrowdStrike
2024/07/26:CrowdStrike 障害:97% の復旧と損失額の推定
2024/07/25:CrowdStrike への侵入に成功:USDoD の主張の信憑性は?
2024/07/24:CrowdStrike の事後レビュー:インシデント発生の理由
2024/07/23:CrowdStrike の Kernel Panic:4月の時点で Linux にも
2024/07/23:CEO が議会での証言を要請された- CrowdStrike
2024/07/21:Microsoft が CrowdStrike リカバリ・ツールを公開
2024/07/21:混乱に乗じてマルウェアやデータ・ワイパーが配布される
2024/07/21:850万台の Windows マシンに影響 – CrowdStrike
2024/07/19:CrowdStrike アップデートで Windows がクラッシュ
IoT OT Security News 
You must be logged in to post a comment.