التفاصيل الفنية حول انقطاع الخدمة يوم ١٩ تموز ٢٠٢٤
20 يوليو 2024
|CrowdStrike | وجهة نظر تنفيذية
ما الذي حدث؟
في الـ 19 من يوليو 2024 وفي تمام الساعة 04:09 بالتوقيت العالمي المنسق، أصدرت CrowdStrike تحديثًا لـ Falcon Sensor الخاصة بأنظمة Windows. تعد تحديثات Falcon Sensor جزءًا اساسيا من آليات الحماية لمنصة Falcon. أدى هذا التحديث إلى حدوث خطأ تسبب في تعطل أنظمة التشغيل وظهور شاشة زرقاء (BSOD) على الأجهزة المتأثرة.
تم إصلاح تحديث Falcon Sensor الذي تسبب في تعطل الأنظمة يوم الجمعة الموافق لـ 19 يوليو 2024 عند الساعة 05:27 بالتوقيت العالمي المنسق.
هذه المشكلة ليست نتيجة ولا مرتبطة بأي هجوم سيبراني.
التأثير
قد يتأثر العملاء الذين يستخدمون Falcon Sensor لنظام التشغيل Windows الإصدار 7.11 والإصدارات الأحدث، والذين كانوا متصلين بالإنترنت بين الجمعة 19 يوليو 2024 الساعة 04:09 بالتوقيت العالمي والجمعة 19 يوليو 2024 الساعة 05:27 بالتوقيت العالمي.
الأنظمة التي تشغل Falcon Sensor ضمن Windows 7.11 وما فوق والتي قامت بتحميل النسخة المحدثة من 04:09 بالتوقيت العالمي المنسق إلى 05:27 بالتوقيت العالمي المنسق – تعرضت لعط في النظام.
ملف التكوين التمهيدي
الملفات التكوينية المذكورة أعلاه تُعرف باسم “ملفات القنوات” وهي جزء من آليات الحماية السلوكية المستخدمة بواسطة مستشعر Falcon. تحديثات ملفات القنوات هي جزء طبيعي من تشغيل المستشعر وتحدث عدة مرات في اليوم استجابة للتكتيكات والتقنيات والإجراءات الجديدة التي تكتشفها CrowdStrike. هذه ليست عملية جديدة؛ البنية التحتية موجودة منذ بداية Falcon.
التفاصيل الفنية
على أنظمة Windows، توجد ملفات القنوات على المسار التالي:
C:\Windows\System32\drivers\CrowdStrike\
وتبدأ أسماؤها بالحرف “C-“. يتم تعيين رقم فريد لكل ملف قناة كمعرف فريد. ملف القناة المتأثر في هذا الحدث هو 291 وله اسم ملف يبدأ بـ “C-00000291-” وينتهي بامتداد .sys
. على الرغم من أن ملفات القنوات تنتهي بامتداد SYS، إلا أنها ليست برامج تشغيل النواة.
ملف القناة 291 يتحكم في كيفية تقييم Falcon لتنفيذ الأنبوب المسمي 1(named pipes) على أنظمة Windows. تُستخدم الأنابيب المسماة للتواصل العادي بين العمليات أو بين الأنظمة في Windows.
كان التحديث الذي حدث في الساعة 04:09 بالتوقيت العالمي المنسق مصممًا لاستهداف الأنابيب الضارة المكتشفة حديثًا والتي تُستخدم بواسطة أطر عمل C2 الشائعة في الهجمات الإلكترونية. أدى تحديث التكوين إلى حدوث خطأ نتج عنه تعطل نظام التشغيل.
ملف القناة 291
قامت CrowdStrike بتصحيح الخطأ عن طريق تحديث المحتوى في ملف القناة 291. لن يتم نشر أي تغييرات إضافية على ملف القناة 291 خارج المنطق المحدث. لا يزال Falcon يقوم بالتقييم والحماية من إساءة استخدام الأنابيب المسماة.
لا يرتبط هذا بالبايتات الفارغة الموجودة في ملف القناة 291 أو أي ملف قناة آخر.
الحلول
يمكن العثور على أحدث التوصيات والمعلومات حول التصحيح على مدونتنا أو في بوابة الدعم.
نحن ندرك أن بعض العملاء قد يكون لديهم احتياجات دعم محددة ونطلب منهم الاتصال بنا مباشرة.
الأنظمة التي لم تتأثر حاليًا ستستمر في العمل كما هو متوقع، وستستمر في تقديم الحماية، ولن تكون معرضة لخطر مواجهة هذا الحدث في المستقبل.
الأنظمة التي تعمل بنظام Linux أو macOS لا تستخدم ملف القناة 291 ولم تتأثر.
تحليل السبب الجذري
نحن نفهم كيف حدثت هذه المشكلة ونجري تحليلًا شاملاً للسبب الجذري لتحديد كيفية حدوث هذا الخلل المنطقي. وسيكون هذا الجهد مستمرا. نحن ملتزمون بتحديد أي تحسينات أساسية أو تحسينات في سير العمل يمكننا إجراؤها لتعزيز عمليتنا. سنقوم بتحديث النتائج التي توصلنا إليها في تحليل السبب الجذري مع تقدم التحقيق.
1 https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes