Hot News
Impossível perder: ontem ocorreram quebras em cascata em todo o mundo (aeroportos, bolsas de valores, hospitais e inúmeras empresas). Computadores rodando Windows exibiam telas azuis da morte, os famosos BSODs. A lapso é uma atualização da CrowdStrike, empresa especializada em segurança cibernética para empresas. A ANSSI também publicou um boletim de alerta.
78 minutos online, horas para reparar os danos
Por sua vez, CrowdStrike acaba de postar uma postagem no blog com detalhes técnicos sobre o fiasco de ontem.
Começamos com um resumo dos elementos que já conhecemos: “ 19 de julho de 2024 às 04h09 UTC [6h09 heure de Paris, ndlr], porquê segmento das operações atuais, a CrowdStrike lançou uma atualização de formato de sensor para sistemas Windows. Esta atualização de formato acionou um “erro lógico”, resultando em lapso do sistema e tela azul (BSOD) nos sistemas afetados ».
A atualização defeituosa foi corrigida às 07h27, horário de Paris (05h27 UTC). Portanto ela ficou online por exclusivamente 78 minutos. Um período de tempo mais que suficiente para ocasionar grandes danos em todo o mundo. CrowdStrike repete mais uma vez: “ Levante problema não é resultado ou está relacionado a um ataque cibernético ».
Tenha zelo, os golpistas estão fora
Se o problema foi resolvido rapidamente por segmento da CrowdStrike, a história é dissemelhante para os clientes. Às vezes é necessário acessar fisicamente as máquinas (incluindo servidores em data centers) para emendar o problema. “ Muitas empresas ainda enfrentam as consequências da disrupção », indicou esta tarde o Gabinete Federalista Boche para a Segurança da Tecnologia da Informação (BSI).
E, para além dos problemas ligados à indisponibilidade de máquinas, o BSI alerta contra “ cibercriminosos que exploram os incidentes para diversas formas de phishing, golpes ou sites falsos ».
O caso da CrowdStrike não foge à regra e a empresa também alerta. Ela ” recomenda que as organizações garantam a notícia com os representantes da CrowdStrike através de canais oficiais e respeitem as orientações técnicas fornecidas pelas equipes de suporte da CrowdStrike “. Cá, ela também alerta contra sites falsos.
Arquivos de via e o famoso C-00000291*.sys…
Para voltar ao cerne da questão, os arquivos em questão são chamados de “Arquivos de Meio”, CrowdStrike fornece um link para saber mais… mas requer uma conta para acessá-lo. Isso já acontecia na manhã de ontem, no início da interrupção: a informação ficou por um período reservado aos clientes da empresa. Vimos coisas melhores em termos de transparência, principalmente em uma postagem pública em um blog.
Independentemente disso, essas atualizações “ fazem segmento da operação normal do Falcon Sensor e ocorrem várias vezes por dia […] Levante não é um processo novo », explica a empresa porquê se quisesse tranquilizar seus usuários.
Esses arquivos de via estão localizados no diretório C:WindowsSystem32driversCrowdStrike e seu nome começa com “C-”. Já sabemos que o culpado é um registo no formato C-00000291*.sys. Ele também deve ser excluído para evitar telas azuis em série… desde que você possa fazer isso. Nem sempre é fácil. Dependendo do caso, você deve ter aproximação a uma conta de gestão lugar e/ou à chave de recuperação do Bitlocker.
…que “não são drivers de kernel”
As coisas ficam um pouco mais complicadas no restante das explicações: “ Embora os arquivos de via terminem com a extensão SYS, estes não são drivers de kernel “. O final da citação está sublinhado na postagem do blog da empresa.
« O registo do via 291 controla porquê o Falcon avalia a realização de pipes nomeados [Named pipes en anglais dans le texte, ndlr] em sistemas Windows. Pipes nomeados são usados para notícia clássica, entre processos ou entre sistemas no Windows “. A mesma história com a Microsoft, que especifica que eles oferecem “ mais recursos do que canais anônimos ».
Nesta outra página, a Microsoft acrescenta que estes famosos “ Pipes nomeados são frequentemente usados por invasores para […] para se remeter com um implante malicioso. Isto pode ser uma atividade legítima ou um sinal de que o host está comprometido “. É, portanto, importante que as soluções de cibersegurança os monitorizem, a término de detectar riscos o mais cedo provável.
CrowdStrike corrige seu registo
A atualização das 6h09 tornou provável “ direcionar novos pipes nomeados observados e usados por estruturas C2 comuns em ataques cibernéticos “. Alguns detalhes sobre as “estruturas C2” da postagem do blog. O C2 significa Comando e Controle (com dois Cs, entendeu?) e framework se refere a uma solução completa para hackers, com servidor, cliente e agente. Em suma, uma atualização “simples” (aparentemente) dos sinais para detectar um potencial ataque o mais rápido provável.
Em vez de fazer o seu trabalho corretamente, a atualização “ desencadeou um “erro lógico” que resultou em uma lapso do sistema operacional ». CrowdStrike um « corrigiu o “erro lógico” atualizando o teor do registo do via 291 “, mas a empresa não dá detalhes sobre o que labareda de” erro lógico » e suas causas. Suas consequências são, no entanto, muito conhecidas.
Independentemente disso, a empresa afirma que sua solução Falcon continua monitorando e protegendo contra sequestros de pipes nomeados por invasores.
Preocupação e rumores
A explicação ainda é surpreendente, porquê explica Neil Madden no Mastodon: “ uh, é um pouco preocupante que a resposta deles seja “consertamos o registo de formato”, e não “consertamos o bug que permite que os arquivos de formato derrubem metade do mundo “. Perguntamo-nos, de facto, porquê é que modificações num ficheiro de formato (que portanto pareceria ter sido renovado pelo piloto) podem levar a tal catástrofe, sem ser bloqueado pelo programa Falcon.
A CrowdStrike aproveitou para pôr término a um boato que se espalhava nas redes sociais: “ Isso não está relacionado aos bytes nulos contidos nos arquivos do via 291 ou em qualquer outro registo de via “. E um lembrete para finalizar: Linux e macOS “ não use registo de via 291 » e, portanto, não são afetados pelo “bug” do dia.
No entanto, CrowdStrike não explica um ponto crucial: porquê tal atualização foi capaz de ser implantada em seus clientes e porquê um registo de formato pode levar a tal cacofonia. Dada a velocidade e extensão dos danos, os testes deveriam ter permitido percebê-los muito rapidamente.
A empresa simplesmente explica que “ entenda porquê esse problema ocorreu ”, mas sem dar mais detalhes. Ela promete voltar com mais informações sobre “ causas raízes à medida que a investigação avança ” O mais breve provável.
Ponteiro NULL, o retorno?
Nas redes sociais, a justificação raiz para alguns apontaria para um problema com… ponteiro, porquê Evis Drenova indicou no X ontem no final do dia. Zach Vorhies também dá sua explicação em um tópico detalhado: “ o computador tentou ler o endereço de memória 0x9c “, mas ela é” vão “. A consequência é imediata: “morte” para o programa que tenta acessá-lo. Quando ele tem direitos muito importantes, porquê é o caso do Falcon Sensor, isso faz com que o sistema trave completamente, ficando com uma tela azul.
Na pergunta ” por que o endereço de memória 0x9c está tentando ser lido? Muito, porque… erro do programador », afirma o desenvolvedor que se apresenta porquê perito em C++. Isto levanta mais uma vez a questão da tempo de testes antes da implantação e da auditoria – pelo menos interna – do programa.