Dettagli tecnici sul disservizio del 19 Luglio 2024

20 Luglio, 2024

|CrowdStrike |Executive Viewpoint

Cos’è successo?

Il 19 luglio 2024 alle 04:09 UTC, nell’ambito delle operazioni in corso, CrowdStrike ha rilasciato un aggiornamento della configurazione del sensore per i sistemi Windows. Gli aggiornamenti della configurazione dei sensori sono una parte costante dei meccanismi di protezione della piattaforma Falcon. Questo aggiornamento della configurazione, a causa di un errore logico dello stesso, ha provocato un arresto anomalo del sistema operativo, generando una schermata blu (BSOD) sui sistemi interessati.

L’aggiornamento della configurazione del sensore che ha causato l’arresto anomalo del sistema è stato risolto venerdì 19 luglio 2024 alle 05:27 UTC.

Questo problema non è il risultato di/o è correlato a un attacco informatico.

Impatto

I clienti che eseguono il sensore Falcon per Windows versione 7.11 e successive, che erano online tra venerdì 19 luglio 2024 alle 04:09 UTC e venerdì 19 luglio 2024 alle 05:27 UTC, potrebbero essere interessati. 

I sistemi che eseguono il sensore Falcon per Windows 7.11 e versioni successive che hanno scaricato la configurazione aggiornata dalle 04:09 UTC alle 05:27 UTC sono stati potenzialmente esposti a un arresto anomalo del sistema.

Configuration File Primer

I file di configurazione sopra menzionati sono denominati “channel file” e fanno parte dei meccanismi di protezione comportamentale utilizzati dal sensore Falcon. Gli aggiornamenti dei channel file sono una parte normale del funzionamento del sensore e si verificano più volte al giorno in risposta a nuove tattiche, tecniche e procedure scoperte da CrowdStrike. Questo non è un nuovo componente bensì fa parte dell’architettura della piattaforma Falcon sin dall’inizio.

Dettagli tecnici

Sui sistemi Windows, i channel file risiedono nella seguente directory:

C:\Windows\System32\driver\CrowdStrike\

ed hanno un nome file che inizia con “C-“. A ciascun channel file viene assegnato un numero come identificatore univoco. Il channel file interessato in questo evento è il 291 e ha un nome file che inizia con “C-00000291-” e termina con un’estensione .sys. Sebbene i channel file terminino con l’estensione SYS, non sono driver del kernel.

Il channel file 291 controlla il modo in cui Falcon valuta l’esecuzione della named pipe¹ sui sistemi Windows. Le named pipe vengono utilizzate per la comunicazione normale, interprocesso o intersistema in Windows.

L’aggiornamento che si è verificato alle 04:09 UTC è stato progettato per prendere di mira le named pipe dannose appena osservate utilizzate dai comuni framework C2 negli attacchi informatici. L’aggiornamento della configurazione ha attivato un errore logico che ha provocato un arresto anomalo del sistema operativo. 

Channel File 291

CrowdStrike ha corretto l’errore logico aggiornando il contenuto nel channel file 291. Non verranno distribuite ulteriori modifiche al channel file 291 oltre alla logica aggiornata. Falcon sta ancora valutando e proteggendo dall’abuso di named pipes. 

Questo non è correlato ai byte nulli contenuti nel channel file 291 o in qualsiasi altro channel file. 

Remediation

Le raccomandazioni e le informazioni più aggiornate sulla correzione sono disponibili sul nostro blog o nel portale di supporto. 

Comprendiamo che alcuni clienti potrebbero avere esigenze di supporto specifiche e chiediamo loro di contattarci direttamente.

I sistemi che non sono attualmente interessati continueranno a funzionare come previsto, continueranno a fornire protezione e non correranno il rischio che questo evento si verifichi in futuro.

I sistemi che eseguono Linux o macOS non utilizzano il channel file 291 e non sono stati interessati. 

Root Cause Analysis 

Abbiamo identificato la causa del problema e stiamo eseguendo un’analisi approfondita della medesima per determinare come si sia potuto verificato questo difetto logico. L’impegno di CrowdStrike in questa direzione sarà continuo. Siamo impegnati ad identificare tutti i miglioramenti possibili nel flusso di lavoro al fine di rafforzare i nostri processi. Man mano che l’indagine procede, aggiorneremo costantemente l’analisi delle cause principali che hanno comportato il disservizio.

 

¹ https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes