uutiset

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Uusi viisausraportti

Toimittaja: Aeneas niin uninen

[Johdatus uuteen viisauteen] Ehdottomasti ulkomaiset tiedotusvälineet löysivät juuri: Microsoftin sinisen näytön katastrofin tällä kertaa aiheuttanut CrowdStrike-johtaja kaatui laitteita ympäri maailmaa Windows XP:n aikakaudella. Se on sama päivitys, se myös katkaisee laitteen ja vaatii myös manuaalisen korjauksen. Tämä mies, joka on aiheuttanut maailmanlaajuisia IT-katastrofeja kahdesti, voidaan "muistaa kuuluisasti historiassa".

Microsoftin maailmanlaajuinen sinisen näytön tapaus on ratkaistu!

Järjestelmälogiikkavirhe, jonka "C-00000291*.sys"-määritystiedosto laukaisi, tuhosi välittömästi noin miljardi tietokonetta ympäri maailmaa ja laukaisi sen jälkeen kaikki toisen ja kolmannen kertaluvun vaikutukset.

Kuten tekoälymestari Karpathy sanoi, teknisellä alalla edelleen olemassa olevat yhden pisteen hetkelliset epäonnistumiset aiheuttavat valtavia piilotettuja vaaroja ihmisyhteiskunnalle.

Ulkomaiset tiedotusvälineet paljastivat tämän maailmanlaajuisen TI-katastrofin alullepanijalla, CrowdStriken toimitusjohtajalla, olevan rikosrekisteri...

Vuonna 2010 hän käytti McAfeen päivitystä kaataakseen laitteita kaikkialla maailmassa!

Logiikkavirhe laukaisee globaalin romahduksen

Heti kun vika ilmeni, jotkut verkkoyhteisöt varoittivat kaikkia - lopeta kaikki CrowdStrike-päivitykset! Pysäytä kaikki CrowdStrike-päivitykset!

Tapahtuman syyn osalta Patrick Wardle, Objective-See Foundationin perustaja, suoritti myös yksityiskohtaisen tutkimuksen välittömästi.

Ensin hän katsoi vian sijaintia - mov r9d, [r8]. Niistä R8 kuuluu kartoittamattomaan osoitteeseen.

Tämä sijainti on otettu osoitintaulukosta (tallennettu RAX:iin), indeksissä RDX (0x14 * 0x8) on virheellinen muistiosoite.

Muut "ajurit" (kuten "C-00000291-...32.sys") näyttävät olevan "CSAgent.sys" -ohjelmassa hämärän peitossa olevia tietoja.

Siksi ehkä nämä virheelliset (määritys/allekirjoitus) tiedot aiheuttivat CSAgent.sys-virheen.

Virheenkorjauksen avulla tämä voidaan määrittää helpommin.

Ilmeisesti tapahtuman tärkein vastaamaton kysymys on, mikä tämä "C-00000291-...xxx.sys"-tiedosto oikein on?

Kun CSAgent.sys viittaa niihin, se kaatuu välittömästi niiden poistaminen korjaa kaatumisen.

VT:llä hän myös palautti CSAgent.sys:n sekä tiedot yhdestä kaatumisvedosta.

Lopuksi Wardle jakoi useita CSAgent.sys-versioita (+idb) sekä useita "C-....sys"-tiedostoja (mukaan lukien uusin, jonka hän uskoi sisältävän "korjauksen").

Hän sanoi, että koska hänellä ei ole Windows-järjestelmää tai virtuaalikonetta, hän toivoo, että nettimiehet voivat jatkaa kaivamista.

Eilen haittaohjelmaasiantuntija Malware Utkonos löysi lisätietoja -

Osoitteessa 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66 näyttää olevan tiedoston 0xaaaaaaaa-tarkistus.

Tämä tila on myös "Channel Files" -kohdan neljä ensimmäistä tavua. Kaikki tiedostot, jotka ovat NULL-arvoja, voivat aiheuttaa cmp:n epäonnistumisen.

Kuten näet, ExAllocatePoolWithTagPriority määrittää rcx:n arvon 0xaaaaaaaa-arvoon verrattuna. Siellä on puskuri, joka vastaanottaa ZwReadFilen lukemat tiedot.

Tämä arvo välitetään sitten funktioille cmp:llä (Utkonos nimesi nämä funktiot kaaviossa sisäisiksi wdm.h-funktiokutsuiksi).

Uskottavuustarkistuksen avulla voidaan havaita, että 0xaaaaaaaaa tavukuvio esiintyy vain kerran tässä tarkastetun "kanavatiedoston" offsetissa 0.

Seuraava on osoite, jolla suoritetaan jotain, kuten cmp.

Kuten näette, vain 0xaaaaaaaa näyttää erilaiselta.

CrowdStrike virallinen selitys

Pian CrowdStriken virallisessa blogissaan julkaisema selitys selvensi kysymyksiä, joista verkkovieraat olivat ymmällään...

CrowdStrike julkaisi 19. heinäkuuta 2024 kello 04.09 UTC Windows-järjestelmiin jatkuvan toiminnan aikana anturikokoonpanopäivityksen, joka on myös osa Falconin alustan suojausmekanismia. Tämä kokoonpanopäivitys laukaisi logiikkavirheen, joka aiheutti kaatumisen ja sinisen virhenäytön (BSOD) järjestelmissä, joita ongelma koskee. Päivitys, joka aiheutti järjestelmän kaatumisen, korjattiin 19. heinäkuuta 2024 klo 05.27 UTC.

Raportin osoite: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Tekniset tiedot ovat seuraavat -

Windows-järjestelmissä kanavatiedosto sijaitsee seuraavassa hakemistossa: C:WindowsSystem32driversCrowdStrike, ja tiedoston nimi alkaa kirjaimella "C-". Jokainen kanavatiedosto tunnistetaan yksilöllisellä numerolla.

Tämä tapaus vaikuttaa kanavatiedostoon 291, ja tiedoston nimi alkaa "C-00000291-" ja päättyy .sys-tunnisteeseen. Vaikka kanavatiedostot päättyvät SYS-laajennukseen, ne eivät ole ytimen ohjaimia.

Kanavatiedosto 291 vaikuttaa siihen, miten Falcon arvioi nimetyn putken suorittamisen Windows-järjestelmissä. Nämä nimetyt putket ovat mekanismi, jota käytetään normaaliin prosessien tai järjestelmien väliseen viestintään Windowsissa.

Perjantain päivityksen oli tarkoitus kohdistaa äskettäin löydettyihin haitallisiin putkiin, joita käytetään C2-kehyksissä ja jotka ovat yleisiä kyberhyökkäyksissä, mutta itse asiassa se laukaisi järjestelmässä logiikkavirheen, joka johti kaatumiseen.

Tällä ei kuitenkaan ole mitään tekemistä nollatavuongelmien kanssa kanavatiedostossa 291 tai missään muussa kanavatiedostossa.

Nettimiehet ovat tehneet tästä tapauksesta kappaleen Sunon avulla

Palauttaaksesi sinun on käynnistettävä kone vikasietotilassa, kirjauduttava sisään paikallisena järjestelmänvalvojana ja poistettava sisältö - tämä on mahdotonta automatisoida.

Siksi tällä halvauksella on niin valtava vaikutus, ja siitä on vaikea toipua.

Hän oli myös viimeksi

CrowdStrike myönsi virheensä ja antoi perjantaina anteeksipyynnön ja päätöslauselman.

Mutta he eivät ole vielä selittäneet, kuinka vahingollinen päivitys julkaistiin ilman testausta ja muita turvatoimenpiteitä.

Luonnollisesti monet kriittiset äänet alkoivat keskittyä tapahtuman keskeiseen hahmoon: CrowdStrike-toimitusjohtajaan George Kurtziin.

Teknologiateollisuuden analyytikko Anshel Sag huomautti, että tämä ei ole ensimmäinen kerta, kun Kurtz on ollut tärkeässä roolissa suuressa IT-onnettomuudessa.

Tuttu resepti, tuttu maku

21. huhtikuuta 2010 virustorjuntaohjelmisto McAfee julkaisi ohjelmistopäivityksen yritysasiakkaille.

Päivitetyn ohjelmiston hankkiminen poisti tärkeän tiedoston Windows-järjestelmistä, jolloin miljoonat tietokoneet ympäri maailmaa kaatuivat ja käynnistyivät uudelleen toistuvasti.

Kuten CrowdStriken virhe, myös McAfeen ongelma vaatii manuaalista korjausta (laite on irrotettu ja offline-tilassa).

Ja Kurtz oli McAfeen teknologiajohtaja tuolloin.

Vuonna 2012 Kurtz perusti CrowdStriken ja on toiminut toimitusjohtajana tähän päivään asti.

Mitä tapahtui vuonna 2010?

McAfee julkaisi 21. huhtikuuta 2010 kello 6 aamulla "ongelmallisen" virusmäärityspäivityksen yritysasiakkaille.

Sitten nämä automaattisesti päivitetyt Windows XP -tietokoneet joutuvat suoraan "infinite reboot" -silmukkaan, kunnes teknisen tuen henkilökunta saapuu korjaamaan ne manuaalisesti.

Syy tähän on itse asiassa hyvin yksinkertainen - saatuaan uuden määritelmän virustorjuntaohjelmisto tunnistaa tavallisen Windowsin binaaritiedoston "svchost.exe" virukseksi "W32/Wecorl.a" ja tuhoaa sen.

Eräs yliopiston IT-henkilöstö kertoi, että hänen verkossaan 1 200 tietokonetta katkesi tämän seurauksena.

Toisessa yhdysvaltalaisyrityksen sähköpostissa kerrottiin, että heillä on vaikutusta "satoihin käyttäjiin":

Tämä ongelma koskee suurta määrää käyttäjiä, eikä pelkkä svchost.exe-tiedoston korvaaminen ratkaise ongelmaa. Sinun on käynnistettävä vikasietotilassa, asennettava extra.dat-tiedosto ja suoritettava sitten vsca-konsoli manuaalisesti. Tämän jälkeen sinun on myös poistettava karanteenissa olevat tiedostot. Jokaisella käyttäjällä on vähintään kaksi tiedostoa karanteeniin, ja joillakin käyttäjillä on jopa 15 tiedostoa. Valitettavasti tällä menetelmällä et voi määrittää, mitkä palautetuista tiedostoista ovat tärkeitä järjestelmätiedostoja ja mitkä virustiedostoja.

Lisäksi Australiasta on raportoitu, että 10 % maan suurimman supermarketketjun kassakoneista halvaantui, minkä seurauksena 14–18 myymälää suljettiin.

Tämän tapauksen vaikutus tuolloin oli niin suuri, että kaikki ihmettelivät: "Edes hakkerit, jotka keskittyvät virusten kehittämiseen, eivät todennäköisesti pysty tuottamaan haittaohjelmia, jotka voivat nopeasti 'kaappaa' niin monia koneita, kuten McAfee tekee nykyään."

Seuraava on SANS Internet Storm Centerin kuvaus tapahtumasta:

McAfee version 5958 "DAT"-tiedostot aiheuttavat monia ongelmia Windows XP SP3:ssa. Järjestelmät, joita tämä koskee, käynnistyvät uudelleen ja menettävät kaiken verkkoyhteyden. Tämä ongelmallinen DAT-tiedosto voi tartuttaa yksittäisiä työasemia sekä toimialueeseen liitettyjä työasemia. "ePolicyOrchestrator" -ohjelman käyttäminen virusmääritystiedostojen päivittämiseen näyttää nopeuttavan tämän ongelmallisen DAT-tiedoston leviämistä. ePolicyOrchestratoria käytetään tyypillisesti DAT-tiedostojen päivittämiseen yrityksissä, mutta se ei pystynyt poistamaan ongelmallista allekirjoitusta, koska ongelmalliset järjestelmät menettivät verkkoyhteyden.

Svchost.exe on yksi Windows-järjestelmän tärkeimmistä tiedostoista. Se isännöi palveluita lähes kaikille järjestelmätoiminnoille. Ilman Svchost.exe-tiedostoa Windows ei voi käynnistyä ollenkaan.

Vaikka näiden kahden tapauksen väli on 14 vuotta, niillä on sama hämmennys – kuinka tällainen päivitys virtasi ulos testilaboratoriosta tuotantopalvelimelle. Teoriassa tällaiset ongelmat pitäisi löytää ja ratkaista testausprosessin varhaisessa vaiheessa.

Keitä he ovat?

George Kurtz varttui Parsippany-Troy Hillsissä New Jerseyssä ja kävi Parsippany High Schoolia.

Kurtz kertoi aloittaneensa videopelien ohjelmoinnin Commodore-tietokoneella ollessaan neljännellä luokalla. Lukiossa perustettiin varhainen verkkoviestintäalusta – ilmoitustaulujärjestelmä.

Hän valmistui Seton Hall -yliopistosta kirjanpitäjäksi.

Myöhemmin hän perusti Foundstonen ja toimi McAfeen teknologiajohtajana.

Tällä hetkellä George Kurtz toimii CrowdStrike-kyberturvallisuusyrityksen toimitusjohtajana, joka on perustettu yhdessä Dmitri Alperovitšin kanssa.

Liikesaavutustensa lisäksi hän on myös kilpa-ajaja.

Price Waterhouse ja Foundstone

Yliopiston jälkeen Kurtz aloitti uransa sertifioituna tilintarkastajana (CPA) Price Waterhousessa.

Vuonna 1993 Price Waterhouse teki Kurtzista yhden äskettäin perustetun turvallisuuskonserninsa ensimmäisistä työntekijöistä.

Vuonna 1999 hän kirjoitti yhdessä Stuart McCluren ja Joel Scambrayn kanssa Hacking Exposedin, verkkoturvallisuuskirjan verkonvalvojille. Kirjaa on myyty yli 600 000 kappaletta ja se on käännetty yli 30 kielelle.

Myöhemmin samana vuonna hän perusti Foundstonen, kyberturvallisuusyrityksen, joka oli yksi ensimmäisistä tietoturvakonsultointiin erikoistuneista yrityksistä. Foundstone on erikoistunut haavoittuvuuksien hallintaohjelmistoihin ja palveluihin, ja se on kehittänyt laajalti tunnustetun tapaturmien reagointiliiketoiminnan, jonka asiakkaina on monia Fortune 100 -yrityksiä.

McAfee

McAfee osti Foundstonen 86 miljoonalla dollarilla elokuussa 2004, ja Kurtzista tuli McAfeen varatoimitusjohtaja ja riskienhallinnan johtaja. Toimikautensa aikana hän auttoi kehittämään yhtiön turvallisuusriskien hallintastrategiaa.

Lokakuussa 2009 McAfee nimitti hänet maailmanlaajuiseksi teknologiajohtajaksi ja varatoimitusjohtajaksi.

Ajan myötä Kurtz turhautui olemassa olevien tietoturvatekniikoiden hitaudesta, koska hänestä tuntui, että ne eivät pysy uusien uhkien tahdissa.

Yksi hänen CrowdStriken luomisen inspiraatioista oli, kun hän näki matkustajan istuvan vieressään lentokoneessa odottamassa 15 minuuttia McAfee-ohjelmiston latautumista kannettavaan tietokoneeseensa.

CrowdStrike

Marraskuussa 2011 Kurtz liittyi pääomasijoitusyhtiö Warburg Pincusiin "asuvaksi yrittäjäksi" ja aloitti työskentelyn seuraavan projektinsa, CrowdStrike, parissa.

Helmikuussa 2012 hän yhdisti voimansa entisen Foundstonen talousjohtajan Gregg Marstonin ja Dmitri Alperovitchin kanssa perustaakseen virallisesti CrowdStriken.

CrowdStrike siirtää painopisteen haittaohjelmien ja virustentorjuntatuotteista (McAfeen lähestymistapa kyberturvallisuuteen) hakkereiden käyttämien tekniikoiden tunnistamiseen saapuvien uhkien havaitsemiseksi. Ja kehitti "pilvi ensin" -mallin vähentääkseen asiakkaiden tietokoneiden ohjelmistotaakkaa.

Toukokuussa 2017 CrowdStriken arvoksi arvioitiin yli miljardi dollaria. Vuonna 2019 yhtiön listautumisanti Nasdaqissa oli 612 miljoonaa dollaria, ja sen arvo oli 6,6 miljardia dollaria.

Heinäkuussa 2020 IDC:n raportti nimesi CrowdStriken nopeimmin kasvavaksi päätepisteiden tietoturvaohjelmistojen toimittajaksi.

Vuonna 2024 Kurtz jatkaa CrowdStriken toimitusjohtajana.

Tosiaan, maailma on vain valtava ruohonjuuritason joukkue.

Viitteet:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/