هذه الوثيقة هي ترجمة للنسخة الإنجليزية التالية https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/. ونقدّم هذه النسخة المترجمة لسهولة المرجع ولأغراض تعريفية فقط. وفي حال وجود أي تعارض أو غموض، يحتكم إلى النسخة الإنجليزية دائمًا، وتكون لها الأولوية.
—
تم التحديث في 08-08-2024 الساعة 2145 بالتوقيت العالمي
المراجعة الأولية لما بعد الحادث (PIR)
تحديث تهيئة المحتوى الذي يُؤثر في مستشعر Falcon ونظام التشغيل Windows (عطل الشاشة الزرقاء (BSOD))
فيما يلي المراجعة الأولية لما بعد الحادث التي أجرتها CrowdStrike. علمًا بأننا سنكشفُ عن تفاصيل تحقيقنا الكامل في تقرير “تحليل السبب الرئيسي” المُرتقب والذي سيتم نشره علناً ليطلع عليه الجمهور. لقد استخدمنا في هذه المراجعة الأولية لما بعد الحادث مصطلحات عامة في وصف منصة Falcon وذلك لجعل النص أكثر وضوحًا. وقد تتضمن الوثائق الأخرى مصطلحات تقنية ومصطلحات أكثر تحديدًا.
ما الذي حدث؟
في يوم الجمعة الموافق 19 يوليو 2024، في تمام الساعة 04:09 بالتوقيت العالمي الموحد، وفي سياق العمليات الاعتيادية، أصدرت CrowdStrike تحديثًا لتهيئة المحتوى لمستشعر نظام التشغيل Windows بهدف جمع البيانات عن بعد حول تقنيات التهديد الجديدة المحتملة.
وتُشكل هذه التحديثات جزءاً مُعتاداً من آليات الحماية الديناميكية لمنصة Falcon. وقد تسبب تحديث تهيئة محتوى الاستجابة السريعة للمشكلة في تعطل نظام التشغيل Windows .
تشمل الأنظمة المتأثرة أجهزة نظام التشغيل Windows التي تستخدم إصدار المستشعر 7.11 والإصدارات الأحدث، والتي كانت متصلة بالإنترنت خلال الفترة من الساعة 04:09 والساعة 05:27 بالتوقيت العالمي الموحد في يوم الجمعة الموافق 19 يوليو 2024. ولم تتأثر الأجهزة التي تعمل بنظام التشغيل Mac و نظام التشغيل Linux بهذا الحدث.
جرى تصحيح الخلل في تحديث المحتوى بإعادته إلى حالته السابقة يوم الجمعة، الموافق 19 يوليو 2024 في الساعة 05:27 بالتوقيت العالمي الموحد. علمًا بأن الأنظمة التي اتصلت بالإنترنت بعد هذا الوقت، أو تلك التي لم تنشئ اتصالاً أثناء فترة الخلل، لم تتأثر.
ما المشكلة وما سببها؟
تُصدر CrowdStrike تحديثات من أجل تهيئة المحتوى الأمني الموجود على المُستشعرات لدينا بطريقتين: محتوى المستشعر الذي يكون مُدمجًا مع المستشعرات مُباشرة، ومحتوى الاستجابة السريعة المُصمَّمُ من أجل الاستجابة لمواقف التهديدات المتغيرة، بسرعةٍ تتناسب مع السرعة التشغيلية.
تضمنت المشكلة التي وقعت يوم الجمعة تحديثًا لمحتوى الاستجابة السريعة كان به خطأً لم يتم اكتشافه.
محتوى المستشعر
يوفر محتوى المستشعر مجموعة واسعة من القدرات، تساعدُ على التصدي للتهديدات. ودائماً ما يكون هذا المحتوى جزء من إصدار المستشعر، ولا يتم تحديثه ديناميكيًا من السحابة. يتضمن محتوى المستشعر نماذج الذكاء الاصطناعي والتعلم الآلي الموجودة على المستشعرات، وتشتمل تلك النماذج على أكواد برمجية مكتوبة خصيصًا لتزويد مُهندسي الكشف عن التهديدات لدى CrowdStrike بميزات وإمكانات طويلة الأمد قابلة لإعادة الاستخدام في الكشف عن التهديدات.
تتضمن هذه الإمكانات “أنواع من القوالب”، تحتوي على حقول محددة مسبقًا ليستفيد منها مهندسو الكشف عن التهديدات ويستخدمونها في محتوى الاستجابة السريعة. وتكون أنواع القوالب هذه مكتوبة بصيغة أكواد برمجية. وتخضع جميع محتويات المستشعرات، بما في ذلك أنواع القوالب، لعملية ضمان جودة شاملة، والتي تتضمن الاختبار الآلي، والاختبار اليدوي، وخطوات التحقق من المحتوى ثم طرحه.
تبدأ عملية إصدار المستشعر بخطوة الاختبار الآلي، والذي يُجرى قبل وبعد عملية الدمج في قاعدة الأكواد البرمجية لدينا. وهذا يشمل ما يلي: اختبار الوحدة، واختبار قابلية التكامل، واختبار جودة الأداء، واختبار الإجهاد. وتنتهي هذه العملية بطرح المُستشعر على مراحل، تبدأ بمرحلة اختباره داخلياً بمعرفة CrowdStrike، ويليهم المستخدمون الأوائل. بعد ذلك يُطرح المُستشعر بشكل عام للعملاء. ويكون لدى العملاء بعد ذلك خيار تحديد الوحدات التي ينبغي أن يثبّت عليها أحدث إصدار من المستشعر (“N”)، أو الإصدار الأقدم (“N-1”)، أو إصدارين أقدم (“N-2”)، وفقًا لسياسات تحديث المستشعر.
لم يكن محتوى المستشعر – الذي لا يتم تسليمه إلا مع إصدار مُحدث لمستشعر Falcon – هو المسبب للحدث الذي وقع يوم الجمعة الموافق 19 يوليو 2024. يتمتع العملاء بقدرة تحكم كاملة في نشر المستشعر — وهذا يتضمن محتوى المستشعر وأنواع القوالب.
محتوى الاستجابة السريعة
يُستخدم محتوى الاستجابة السريعة في إجراء مجموعة متنوعة من عمليات مطابقة الأنماط السلوكية على المستشعر، باستخدام محرك محسن للغاية. ومحتوى الاستجابة السريعة هو تمثيل للحقول والقيم، ويحتوي على عوامل تصفية خاصة بها. ويجري تخزين محتوى الاستجابة السريعة هذا في ملف ثنائي محمي بحقوق ملكية، يحتوي على بيانات التهيئة. وهو ليس كود برمجي ولا أحد برامج تشغيل مكونات النظام الأساسية.
يتم تسليم محتوى الاستجابة السريعة في صورة “مثيلات القالب”، وهي عبارة عن مثيلات لنوع قالب معين. يتم تعيين كل مثيل من مثيلات قالب من أجل مراقبة سلوكيات محددة للمستشعر، أو اكتشافها أو منعها. تحتوي مثيلات القالب على مجموعة من الحقول التي يمكن تهيئتها من أجل مُطابقة السلوك المطلوب.
بعبارة أخرى، تمثل أنواع القوالب قدرة المستشعر التي تتيح جمع بيانات عن بعد جديدة والكشف عن التهديدات، ويتم تهيئة سلوكها أثناء التشغيل ديناميكيًا بواسطة مثيل القالب (أي محتوى الاستجابة السريعة).
يوفر محتوى الاستجابة السريعة الرؤية وقدرة الكشف على المستشعر دون الحاجة إلى تغييرات في كود برمجة المستشعر. يستخدم مهندسو الكشف عن التهديدات هذه الميزة لجمع البيانات عن بعد، وتحديد مؤشرات السلوك العدائي، وإجراء عمليات الكشف والوقاية. يعتمد محتوى الاستجابة السريعة على الاستدلالات السلوكية، وهي منفصلة ومختلفة عن قدرات الوقاية والكشف باستخدام الذكاء الاصطناعي الموجودة على مســــتشعر CrowdStrike .
اختبار ونشر محتوى الاستجابة السريعة
يتم تسليم محتوى الاستجابة السريعة في صورة تحديثات تهيئة المحتوى لدى مستشعر Falcon. وتوجد أنظمة أساسية ثلاث: نظام تهيئة المحتوى، ومفسر المحتوى، ومحرك الكشف في المستشعر.
يعدُ نظامُ تهيئة المحتوى جزءًا من منصة Falcon القائم في السحابة، في حين أن مفسر المحتوى ومحرك الكشف في المستشعر مكونان من مكونات مستشعر Falcon. ويتم استخدام نظام تهيئة المحتوى في إنشاء مثيلات القالب، والتي يتم اعتمادها ونشرها على المستشعر، من خلال آلية تسمى ملفات القناة. يُخزن المستشعر بيانات تهيئة المحتوى الخاصة به ويُحدثها، من خلال ملفات القناة، والتي يتم كتابتها على وحدة تخزين في الجهاز المُضيف.
يقرأ مفسر المحتوى الموجود على المستشعر ملف القناة، ويفسر محتوى الاستجابة السريعة، وهذا ما يمكِّنُ محرك الكشف في المستشعر من مراقبة الأنشطة العدائية واكتشافها والتصدي لها، وهذا كله يجري وفقًا لإعدادات سياسة العميل. وجرى تصميم مفسر المحتوى بحيث يتعامل بأمان مع استثناءات المحتوى، التي من المحتمل أن تكون مصدرًا للمشكلات.
تخضع أنواع القوالب التي يتم إطلاقها حديثاً لاختبارات الإجهاد من جوانب عديدة مثل: استخدام الموارد، وتأثر أداء النظام، وحجم الأحداث. ولكل نوع من أنواع القوالب، يُستخدمُ أحد مثيلات القوالب في اختبار الإجهاد لنوع القالب، عن طريق المطابقة مع جميع القيم المحتملة لحقول البيانات المرتبطة به وذلك لتحديد التفاعلات السلبية بالنظام.
يتم إنشاء وتهيئة مثيلات القوالب من خلال نظام تهيئة المحتوى، والذي يتضمن مدقق المحتوى، الذي ينفذ إجراءات اعتماد المحتوى، قبل نشره.
الجدول الزمني للأحداث: اختبار وطرح نوع قالب InterProcessCommunication (IPC)
إصدار محتوى المستشعر: في 28 فبراير 2024 تم طرح إصدار المستشعر 7.11 بشكل عام للعملاء، وتضمن استحداث نوع جديد من أنواع قوالب الاتصال بين العمليات (IPC) بهدف الكشف عن تقنيات الهجوم الجديدة، التي تسيء استخدام Named Pipes. وخضع هذا الإصدار لجميع إجراءات اختبار محتوى المستشعر المذكورة أعلاه في قسم محتوى المستشعر.
اختبار الإجهاد لنوع القالب: في 5 مارس 2024 أُجريَ اختبار إجهاد لنوع قالب IPC في البيئة المرحلية الخاصة بنا، والتي تتكون من مجموعة متنوعة من أنظمة التشغيل وأحمال العمل. وقد اجتاز نوع القالب هذا اختبار الإجهاد، وتم اعتماده للاستخدام.
إصدار مثيل القالب عبر ملف القناة 291: في 5 مارس 2024 وبعد اجتياز اختبار الإجهاد، تم اعتماد مثيل قالب IPC من أجل الإنتاج كجزء من تحديث تهيئة المحتوى. بعد ذلك، تم نشر ثلاث مثيلات إضافية لقالب IPC في الفترة بين 8 و24 أبريل 2024. ويتم تنفيذ مثيلات القوالب هذه كما هو متوقع في الإنتاج.
ماذا حدث في 19 يوليو 2024؟
في 19 يوليو 2024 تم نشر مثيلين إضافيين لقالب IPC. ونظرًا لوجود خطأ في مدقق المحتوى، اجتاز أحد مثيلي القالب عملية الاعتماد بنجاح، رغم احتوائه على بيانات محتوى تُسبب مشكلات.
استنادًا إلى الاختبار الذي أُجريَ قبل عملية النشر الأولي لنوع القالب (في 5 مارس 2024)، والثقة في عمليات التحقق التي أُجريت في مدقق المحتوى، وعمليات النشر الناجحة السابقة لمثيل قالب IPC؛ جرى نشر هذه المثيلات في بيئة الإنتاج.
عند استلام المستشعر للمحتوى المسبب للمشكلة والمخزن في ملف القناة 291 وتحميله في مفسر المحتوى، أدى ذلك إلى حدوث خطأ “قراءة خارج حدود الذاكرة”، والذي أدى بدوره إلى حدوث خطأ استثناء. تعذر معالجة خطأ الاستثناء غير المتوقعة بشكل سليم، ما أدى إلى ظهور عطل الشاشة الزرقاء في أنظمة تشغيل Windows .
كيف يمكننا الحيلولة دون حدوث ذلك مرة أخرى؟
مرونة البرامج واختبارها
• تحسين اختبار محتوى الاستجابة السريعة باستخدام أنواع اختبار مثل:
• تحسين اختبار محتوى الاستجابةاختبار المطور المحلي
• اختبار تحديث المحتوى والتراجع عنه
• اختبار الإجهاد، والقيم المحتملة، وإدخال الأخطاء
• اختبار الاستقرار
• اختبار واجهة المحتوى
• إضافة مزيد من عمليات التحقق إلى مدقق المحتوى في محتوى الاستجابة السريعة. يوجد اختبار جديد قيد التنفيذ للحماية من هذا النوع من المحتوى المسبب للمشكلات في المستقبل.
• تحسين عمليات معالجة الأخطاء الحالية في مفسر المحتوى.
نشر محتوى الاستجابة السريعة
• تبني إستراتيجية نشر مُتدرجة لمحتوى الاستجابة السريعة، حيث يتم نشر التحديثات تدريجيًا في أجزاء أوسع من قاعدة المستشعر، بدءًا من عمليات النشر المرحلي.
• تعزيز مراقبة أداء كل من المستشعر والنظام، وجمع التعقيبات أثناء نشر محتوى الاستجابة السريعة من أجل تنفيذ عملية الطرح على مراحل.
• منح العملاء قدرة أوسع على التحكم في تلقي تحديثات محتوى الاستجابة السريعة، من خلال السماح بالتحديد الدقيق لوقت نشر هذه التحديثات ومكان نشرها.
• توفير تفاصيل حول تحديث المحتوى عبر ملاحظات الإصدار، والتي يمكن للعملاء الاشتراك فيها وتلقيها.
التحقق من موارد الجهات الخارجية ومراجعتها
• إجراء مراجعات مستقلة متعددة للأكواد البرمجية الخاصة بالأمان التي تقدمها جهات خارجية.
• إجراء مراجعات مستقلة لعمليات الجودة الشاملة؛ بداية من التطوير وحتى النشر.
إضافة إلى هذه المراجعة الأولية لما بعد الحادث، فإن CrowdStrike مُلتزمة بنشر تقرير “تحليل السبب الرئيسي” الكامل علناً للاطلاع عليه من الجمهور، بمجرد اكتمال التحقيق.