Crowdstike

CrowdStrikeは、Falconアップデートの不具合に関するPIR(Preliminary Post Incident Review)を発表し、2024年7月19日にバグによって不正なデータがContent Validatorを通過し、数百万台のWindowsシステムがクラッシュしたと説明した。

サイバーセキュリティ企業は、この問題は、新たな脅威手法に関する遠隔測定情報を収集することを目的とした、問題のあるコンテンツ設定アップデートによって引き起こされたと説明している。

この更新プログラムは、Content Validatorを通過した後、基盤となるInter-Process Communication (IPC) Template Typeのデプロイが過去に成功したことを信頼し、追加の検証を受けませんでした。そのため、ファルコンのバージョン7.11以降を実行しているオンラインホストに到達する前に、このアップデートは発見されませんでした。

同社はこの誤りに気づき、1時間以内にアップデートを元に戻した。

しかし、その時には遅すぎた。約850万台(それ以上ではないにしても)のWindowsシステムが、Content Interpreterが新しいコンフィギュレーションのアップデートを処理した際に、境界外のメモリ読み込みに苦しみ、クラッシュしたのだ。

不十分なテスト

CrowdStrikeはIPC Template Typesと呼ばれる設定データを使用しており、これによりFalconセンサーはソフトウェアがインストールされたデバイス上の不審な挙動を検知することができます。

IPCテンプレートは、CrowdStrikeが「ラピッドレスポンスコンテンツ」と呼ぶ定期的なコンテンツアップデートを通じて配信されます。このコンテンツは、アンチウイルスの定義更新に似ており、CrowdStrikeは、設定データを変更するだけで、完全な更新を必要とせずに、新しい脅威を見つけるためにセンサーの検知能力を調整することができます。

このケースでは、CrowdStrike は、一般的な C2 フレームワークにおける Named Pipes の悪意のある悪用を検知するために、新しい設定をプッシュしようとしました。

CrowdStrikeは、対象となったC2フレームワークの具体的な名前を挙げていないが、一部の研究者は、このアップデートがCobalt Strikeの新しい名前付きパイプ機能を検出しようとしたと考えている。

同社によると、新しい IPC テンプレートタイプと、新しいコンフィギュレーションを実装するための対応するテンプレートインスタンスは、自動化されたストレステスト技術を用いて徹底的にテストされたとのことです。

これらのテストには、リソースの使用率、システム・パフォーマンスへの影響、イベント量、不利なシステム相互作用が含まれる。

テンプレート・インスタンスをチェック・検証するコンポーネントであるContent Validatorは、3月5日、4月8日、2024年4月24日にプッシュされた3つの個別インスタンスを問題なくチェック・承認した。

7月19日には、さらに2つのIPCテンプレートインスタンスがデプロイされ、そのうちの1つには、Content Validatorがバグのために見落とした、欠陥のあるコンフィギュレーションが含まれていた。

CrowdStrikeによると、以前のテストと成功したデプロイメントによる基本的な信頼性のため、動的チェックのような追加のテストが実行されなかったため、不正なアップデートがクライアントに届き、大規模なグローバルIT障害が発生したという。

しかし、PIRによると、ラピッドレスポンスコンテンツは、社内のデバイスでローカルにテストする代わりに自動テストを使用しているため、この問題を検出できた可能性が高い。

CrowdStrikeは、今後のRapid Response Contentにローカル開発者テストを導入するとしている。

新たな対策

CrowdStrikeは、今後同様のインシデントを防止するため、いくつかの追加対策を実施している。

具体的には、ラピッドレスポンスコンテンツをテストする際に、以下の追加ステップを挙げている:

  • ローカル開発者によるテスト
  • コンテンツの更新とロールバックのテスト
  • ストレステスト、ファジング、フォールトインジェクション
  • 安定性テスト
  • コンテンツ・インターフェースのテスト

さらに、Content Validatorにバリデーション・チェックが追加され、Content Interpreterのエラー・ハンドリングが改善されます。

ラピッドレスポンスコンテンツの展開に関しては、以下の変更が予定されている:

  • 時差配備戦略を導入し、小規模なカナリア配備から始めて徐々に拡大する。
  • 展開中のセンサーとシステム性能の監視を改善し、段階的な展開の指針となるフィードバックを利用する。
  • ラピッド・レスポンス・コンテンツのアップデートの配信をよりコントロールできるようにし、アップデートをいつ、どこで配信するかを選択できるようにする。
  • コンテンツアップデートの詳細をリリースノートで提供し、顧客がタイムリーな情報を購読できるようにする。

クラウドストライクは、今後より詳細な根本原因分析記事を公開することを約束しており、詳細については、内部調査が完了した後に明らかになる予定です。