A július 19-i CrowdStrike Falcon frissítés technikai háttere és kiberbiztonsági következményei

2024. július 19-én a CrowdStrike kiberbiztonsági cég egy fontos érzékelőkonfigurációs frissítést adott ki a Falcon kibervédelmi szoftver részeként, amely a Windows rendszerek védelmét szolgálja. Egy váratlan logikai hiba miatt a frissítés súlyos problémákat okozott, beleértve a rendszerösszeomlást és a „kék halált” (BSOD) az érintett rendszereken. A hiba több, mint 8 millió gépet érintett, ami többek között repülőjáratok törlését, kórházi rendszerek leállását eredményezte, de tévéadókat és bankokat is érintett. 

A CrowdStrike július 19-én, az UTC idő szerint 04:09-kor adott ki egy olyan érzékelőkonfigurációs frissítést, amelynek lényege az olyan újonnan megfigyelt, rosszindulatú, named pipe „nevesített csövek” megcélzása volt, amelyeket a kibertámadásokban elterjedt C2-keretrendszerek használnak. A konfigurációs frissítés olyan logikai hibát váltott ki, amely az operációs rendszer összeomlásához vezetett.

A hibát a Windows rendszereken a C:\Windows\System32\drivers\CrowdStrike\ alatt található 291-es channel file tartalmazta, melynek javítása rövidesen, 5:27-kor meg is történt a tartalmának frissítésével.

A channel file-ok Falcon érzékelő által használt viselkedésvédelmi mechanizmusok részét képezik, ezek frissítései a működésének normális részét képezik, és naponta többször is előfordulnak a CrowdStrike által felfedezett új taktikákra reagálva.

A Linuxot vagy macOS-t futtató rendszerek nem használják a 291-es csatornafájlt, így ezek nem voltak érintettek.

Érintettek lehettek a Falcon sensor for Windows 7.11 vagy magasabb verziószámú érzékelőt futtató ügyfelek, akik 2024. július 19., péntek 04:09 UTC és 2024. július 19., péntek 05:27 UTC között voltak online. A rendszerek, amik a két időpont között töltötték le a frissített konfigurációt kitettek voltak rendszerösszeomlásnak.

A CrowdStrike létrehozott egy részletes tájékoztatót a Falcon probléma megoldásáról, ami a hivatalos oldalon érhető el.

A nagy IT kimaradással egyszerre sajnos az ezzel visszaélő csalók is megjelentek. A CrowdStrike is arra szólította fel felhasználóit, hogy bármilyen frissítésről szóló levélben először ellenőrizzék, hogy valóban a cég küldte-e azt a levelet. A csaló emailekben adathalászat is előfordulhat, de frissítéseknek álcázott trójai vírusok, malware-k és távoli hozzáférést biztosító programok. Megnövekedtek a CrowdStrike nevét használó és azt megszemélyesítő domain nevek is melyek szintén javítást vagy frissítés letöltését kínálják. Ezekről már a cég is készített egy listát, ez az oldalukon érhető el.