A CrowdStrike conduziu uma análise detalhada da causa raiz de um incidente técnico grave relacionado ao Channel File 291 que resultou em crashes de sistemas Windows. O problema foi desencadeado por uma atualização de conteúdo que apresentou uma incompatibilidade entre os parâmetros esperados e fornecidos, levando a uma leitura de memória fora dos limites esperados. A análise revela uma série de falhas no processo de validação e teste, resultando em crashes generalizados em sistemas que utilizavam a versão 7.11 do sensor.

O problema começou com a introdução de um novo tipo de template no sensor da versão 7.11, lançado em fevereiro de 2024. Este template foi projetado para melhorar a detecção de técnicas de ataque que utilizam mecanismos de comunicação interprocessual (IPC) do Windows. No entanto, um erro na integração do template fez com que ele esperasse 21 campos de entrada, enquanto a implementação do código fornecia apenas 20. Inicialmente, esse erro não foi detectado porque os testes usavam critérios de correspondência curinga, que não exigiam o 21º campo. No entanto, em 19 de julho de 2024, foram implantadas novas instâncias de template que passaram a exigir a verificação do 21º campo, resultando em crashes quando o sistema tentou acessar esse campo inexistente.

A análise revelou que a falha decorreu de vários fatores combinados: a falta de validação do número de campos de entrada durante a compilação do sensor, a ausência de uma verificação em tempo de execução para garantir a correspondência correta entre o número de entradas e o que o conteúdo exigia, e um erro lógico no validador de conteúdo que permitiu a distribuição do arquivo problemático. As mitigações incluíram a correção do compilador para verificar o número de campos de entrada, a adição de verificações de limites de arrays em tempo de execução, e a correção no validador de conteúdo para evitar que templates incorretos sejam validados.

A CrowdStrike também implementou revisões independentes por terceiros para verificar a qualidade e a segurança do código do sensor. Além disso, expandiu os testes de templates para cobrir uma maior variedade de critérios de correspondência e introduziu uma implantação escalonada de novos templates para detectar problemas em fases iniciais antes de uma distribuição mais ampla.

O incidente expôs vulnerabilidades significativas no processo de desenvolvimento e validação de conteúdo da CrowdStrike. A empresa agora está implementando processos mais robustos de teste e verificação, além de fornecer aos clientes maior controle sobre quando e como as atualizações de conteúdo são aplicadas. A correção do sensor foi distribuída em 9 de agosto de 2024, com melhorias adicionais planejadas para prevenir incidentes semelhantes no futuro.

Com informações CrowdStrike Blog

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.