CrowdStrike veröffentlicht vorläufigen Prüfbericht zum groß angelegten Windows-Bluescreen-Vorfall: Fehler beim Lesen des Speichers außerhalb der Grenzen, interne Tests wurden verstärkt

Diese Website berichtete am 25. Juli, dass aufgrund eines CrowdStrike-Fehlers kürzlich auf etwa 8,5 Millionen Windows-Computern weltweit ein Bluescreen of Death aufgetreten sei, der ebenfalls zu einem wichtigen Ereignis von nationaler Bedeutung geworden sei. Am 24. Juli veröffentlichte die offizielle CrowdStrike-Website einen vorläufigen Überprüfungsbericht zum weit verbreiteten Windows-Bluescreen-Vorfall und gab an, dass die umfassenden Untersuchungsergebnisse in einer öffentlich veröffentlichten Ursachenanalyse detailliert beschrieben werden.

Vorläufige Überprüfungsberichte zeigen, dass CrowdStrike am Freitag, den 19. Juli 2024 um 04:09 UTC (12:09 Uhr Pekinger Zeit), im Rahmen des regulären Betriebs ein Inhaltskonfigurationsupdate für Windows-Sensoren veröffentlicht hat, um Informationen über mögliche Telemetriedaten zu sammeln Daten zu neuen Bedrohungstechnologien.

Diese Updates sind ein regelmäßiger Bestandteil des dynamischen Schutzmechanismus der Falcon-Plattform. Allerdings verursachte ein problematisches Update der Rapid Response-Inhaltskonfiguration Windows-Systemabstürze und betraf Geräte, einschließlich Windows-Hosts, auf denen Sensor Version 7.11 und höher ausgeführt wird.

Diese Hosts waren online und haben das Update zwischen Freitag, 19. Juli 2024, 04:09 UTC und Freitag, 19. Juli 2024, 05:27 UTC erhalten.

Mac- und Linux-Hosts sind nicht betroffen.

Der Fehler im Inhaltsupdate wurde am Freitag, 19. Juli 2024, um 05:27 UTC (13:27 Uhr Pekinger Zeit) behoben.

Systeme, die nach dieser Zeit online gehen, oder Systeme, die im vorherigen Fenster nicht mit Updates verbunden waren, sind nicht betroffen.

CrowdStrike liefert sichere Inhaltskonfigurationsaktualisierungen für Sensoren auf zwei Arten: Inhalte, die direkt mit dem Sensor geliefert werden, und schnelle Inhaltsaktualisierungen. Das Problem vom Freitag betraf ein schnelles Inhaltsupdate mit einem unentdeckten Fehler.

Wenn der Sensor den Inhalt empfängt und in den Inhaltsinterpreter lädt,

der problematische Inhalt führt zu einem Speicherlesevorgang außerhalb der Grenzen, der eine Ausnahme auslöst . Diese unerwartete Ausnahme wurde nicht ordnungsgemäß behandelt, was zum Absturz des Windows-Betriebssystems (BSOD) führte.

Software-Resilienz und -Tests

• Verbessern Sie reaktionsfähige Inhaltstests mit den folgenden Testtypen:
  Lokale Entwicklertests
  • Inhaltsaktualisierungs- und Rollback-Tests
  • Stresstests, Fuzz-Tests und Fehlerinjektion
  • Stabilitätstests
  • Testen der Inhaltsschnittstelle
Fügen Sie dem Inhaltsvalidator zusätzliche Validierungsprüfungen hinzu, um schnell reagierende Inhalte zu erhalten. Derzeit wird eine neue Prüfung durchgeführt, um zu verhindern, dass solche problematischen Inhalte in Zukunft bereitgestellt werden.
• Verbessern Sie die vorhandene Fehlerbehandlung im Content Interpreter.

Reaktionsfähige Inhaltsbereitstellung

Implementieren Sie eine gestaffelte Bereitstellungsstrategie für reaktionsfähige Inhalte, bei der Updates nach und nach in größeren Teilen der Sensorbibliothek bereitgestellt werden, beginnend mit Canary-Bereitstellungen.
• Verbesserte Überwachung der Sensor- und Systemleistung, Sammeln von Feedback während der schnellen Bereitstellung von Inhalten, um die schrittweise Einführung zu steuern.
• Geben Sie Kunden eine bessere Kontrolle über die Bereitstellung reaktionsfähiger Inhaltsaktualisierungen, indem Sie eine detaillierte Auswahl darüber ermöglichen, wann und wo diese Aktualisierungen bereitgestellt werden.
• Stellen Sie Details zur Inhaltsaktualisierung über Versionshinweise bereit, die Kunden abonnieren können.

Verifizierung durch Dritte

Führen Sie mehrere unabhängige Sicherheitscodeüberprüfungen durch Dritte durch.
• Unabhängige Überprüfung der End-to-End-Qualitätsprozesse von der Entwicklung bis zur Bereitstellung.

Zusätzlich zur ersten Überprüfung nach dem Vorfall verpflichtet sich CrowdStrike, nach Abschluss der Untersuchung eine vollständige Ursachenanalyse öffentlich zu veröffentlichen. Der Originaltext des vorläufigen Überprüfungsberichts ist dieser Website beigefügt. Wenn Sie interessiert sind, können Sie weitere Einzelheiten erfahren:

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance -hub/

Das obige ist der detaillierte Inhalt vonCrowdStrike veröffentlicht vorläufigen Prüfbericht zum groß angelegten Windows-Bluescreen-Vorfall: Fehler beim Lesen des Speichers außerhalb der Grenzen, interne Tests wurden verstärkt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!