nouvelles

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Nouveau rapport de sagesse

Editeur : Énée si endormi

[Introduction à la nouvelle sagesse] Absolument, les médias étrangers viennent de le découvrir : le PDG de CrowdStrike, qui a provoqué le désastre de l’écran bleu de Microsoft, a fait planter des appareils dans le monde entier à l’époque de Windows XP. C’est la même mise à jour, elle déconnecte également l’appareil et nécessite également une réparation manuelle. Ayant provoqué à deux reprises des catastrophes informatiques mondiales, cet homme peut rester « célèbre dans l'histoire ».

L’incident mondial de l’écran bleu de Microsoft a été résolu !

Une erreur de logique système déclenchée par le fichier de configuration « C-00000291*.sys » a détruit instantanément environ 1 milliard d'ordinateurs dans le monde et a ensuite déclenché tous les effets de deuxième et troisième ordre.

Comme l'a dit le maître de l'IA Karpathy, les pannes instantanées ponctuelles qui existent encore dans le domaine technique entraîneront d'énormes dangers cachés pour la société humaine.

L'initiateur de ce désastre mondial de TI, le PDG de CrowdStrike, a été révélé par les médias étrangers comme ayant un casier judiciaire——

En 2010, c’est lui qui a utilisé une mise à jour chez McAfee pour faire planter des appareils partout dans le monde !

Une erreur logique déclenche un effondrement global

Dès que l'échec s'est produit, certains internautes ont lancé un avertissement à tout le monde : arrêtez toutes les mises à jour de CrowdStrike ! Arrêtez toutes les mises à jour de CrowdStrike !

Concernant la cause de l'incident, Patrick Wardle, fondateur de la Fondation Objective-See, a également mené immédiatement une enquête approfondie.

Tout d'abord, il a regardé l'emplacement de la faille - mov r9d, [r8]. Parmi eux, R8 appartient à l'adresse non mappée.

Cet emplacement est extrait du tableau de pointeurs (enregistré dans RAX), l'index RDX (0x14 * 0x8) contient une adresse mémoire invalide.

D'autres "pilotes" (tels que "C-00000291-...32.sys") semblent être des données obscurcies et référencées par "CSAgent.sys".

Par conséquent, ces données (configuration/signature) non valides ont peut-être déclenché l’échec de CSAgent.sys.

Grâce au débogage, cela peut être déterminé plus facilement.

De toute évidence, la question la plus importante sans réponse dans l'incident est la suivante : qu'est-ce que ce fichier « C-00000291-...xxx.sys » exactement ?

Une fois que CSAgent.sys les référence, il se bloque immédiatement ; leur suppression corrige le crash.

Sur VT, il a également procédé à une ingénierie inverse de CSAgent.sys ainsi que des données d'un seul vidage sur incident.

Enfin, Wardle a partagé plusieurs versions de CSAgent.sys (+idb), ainsi que divers fichiers "C-....sys" (y compris le dernier qui, selon lui, contenait le "correctif").

Il a déclaré que comme il ne dispose pas de système Windows ni de machine virtuelle, il espère que les internautes pourront continuer à creuser.

Hier encore, l'expert en malware Malware Utkonos a découvert plus de détails :

À l'adresse 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, il semble y avoir une vérification magique du fichier pour 0xaaaaaaaa.

Ce mode concerne également les quatre premiers octets de « Channel Files ». Les fichiers qui sont tous NULL peuvent entraîner l'échec du cmp.

Comme vous pouvez le voir, la valeur dans rcx par rapport à 0xaaaaaaaa est attribuée en haut par ExAllocatePoolWithTagPriority. Il y a le tampon qui reçoit les données lues par ZwReadFile.

Cette valeur est ensuite transmise aux fonctions utilisant cmp (Utkonos a nommé ces fonctions comme appels de fonction wdm.h internes dans le diagramme).

Grâce au contrôle de plausibilité, on peut constater que le modèle d'octet 0xaaaaaaaa n'apparaît qu'une seule fois au décalage 0 du "fichier de canal" vérifié ici.

Ce qui suit est l'adresse pour exécuter quelque chose comme cmp.

Comme vous pouvez le voir, seul 0xaaaaaaaa semble différent.

Explication officielle de CrowdStrike

Bientôt, l'explication publiée par CrowdStrike sur son blog officiel a clarifié les questions sur lesquelles les internautes étaient confus——

À 04h09 UTC le 19 juillet 2024, CrowdStrike a publié une mise à jour de la configuration des capteurs pour les systèmes Windows pendant les opérations en cours, qui fait également partie du mécanisme de protection de la plateforme Falcon. Cette mise à jour de configuration a déclenché une erreur logique qui a provoqué un crash et un écran bleu d'erreur (BSOD) sur les systèmes concernés. La mise à jour qui a provoqué le crash du système a été corrigée le 19 juillet 2024 à 05h27 UTC.

Adresse du rapport : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Les détails techniques sont les suivants -

Sur les systèmes Windows, le fichier de canal se trouve dans le répertoire suivant : C:WindowsSystem32driversCrowdStrike et le nom du fichier commence par "C-". Chaque fichier de canal est identifié par un numéro unique.

Le fichier de canal concerné dans cet incident est le 291 et le nom du fichier commence par « C-00000291- » et se termine par l'extension .sys. Bien que les fichiers de canal se terminent par l'extension SYS, ce ne sont pas des pilotes du noyau.

Le fichier de canal 291 affecte la façon dont Falcon évalue l'exécution du canal nommé sur les systèmes Windows. Ces canaux nommés constituent le mécanisme utilisé pour la communication normale inter-processus ou inter-systèmes dans Windows.

La mise à jour de vendredi visait à cibler les canaux nommés malveillants récemment découverts et utilisés dans les frameworks C2 qui sont courants dans les cyberattaques, mais elle a en fait déclenché une erreur logique dans le système, entraînant un crash.

Cela n'a cependant rien à voir avec les problèmes d'octets nuls dans le fichier de canal 291 ou tout autre fichier de canal.

Cet incident a été transformé en chanson par les internautes utilisant Suno

Pour récupérer, vous devez démarrer la machine en mode sans échec, vous connecter en tant qu'administrateur local et supprimer le contenu – cela est impossible à automatiser.

Par conséquent, cette paralysie a un impact énorme et il est difficile de s’en remettre.

C'était lui la dernière fois aussi

CrowdStrike a reconnu son erreur et a présenté vendredi des excuses et une résolution.

Mais ils n’ont pas encore expliqué comment la mise à jour dommageable a été publiée sans tests ni autres mesures de sécurité.

Naturellement, de nombreuses voix critiques ont commencé à se concentrer sur le personnage central de l’incident : George Kurtz, PDG de CrowdStrike.

Anshel Sag, analyste du secteur technologique, a souligné que ce n'est pas la première fois que Kurtz joue un rôle important dans un incident informatique majeur.

Recette familière, goût familier

Le 21 avril 2010, le logiciel antivirus McAfee a publié une mise à jour logicielle destinée aux entreprises clientes.

L'obtention du logiciel mis à jour a supprimé un fichier critique des systèmes Windows, provoquant le crash et le redémarrage répétés de millions d'ordinateurs dans le monde.

Semblable à l'erreur de CrowdStrike, le problème de McAfee nécessite également une réparation manuelle (l'appareil est déconnecté et hors ligne).

Et Kurtz était à l'époque directeur de la technologie chez McAfee.

En 2012, Kurtz a fondé CrowdStrike et en est encore aujourd’hui le PDG.

Que s'est-il passé en 2010 ?

Le 21 avril 2010 à 6 heures du matin, McAfee a publié une mise à jour « problématique » des définitions de virus à l'intention des entreprises clientes.

Ensuite, ces ordinateurs Windows XP automatiquement mis à jour tomberont directement dans une boucle de « redémarrage infini » jusqu'à ce que le personnel du support technique arrive pour le réparer manuellement.

La raison derrière cela est en fait très simple : après avoir reçu la nouvelle définition, le logiciel antivirus identifiera un fichier binaire Windows standard « svchost.exe » comme étant le virus « W32/Wecorl.a » et le détruira.

Un membre du personnel informatique de l'université a signalé que 1 200 ordinateurs de son réseau étaient en conséquence tombés en panne.

Un autre e-mail provenant d'une entreprise américaine indiquait que "des centaines d'utilisateurs" étaient concernés :

Ce problème affecte un grand nombre d’utilisateurs et le simple remplacement de svchost.exe ne résout pas le problème. Vous devez démarrer en mode sans échec, installer le fichier extra.dat, puis exécuter manuellement la console vsca. Après cela, vous devez également supprimer les fichiers mis en quarantaine. Chaque utilisateur a au moins deux fichiers en quarantaine, et certains utilisateurs en ont jusqu'à 15. Malheureusement, en utilisant cette méthode, vous ne pouvez pas déterminer lesquels des fichiers que vous récupérez sont des fichiers système importants et lesquels sont des fichiers de virus.

En outre, un rapport australien indique que 10 % des caisses enregistreuses de la plus grande chaîne de supermarchés du pays ont été paralysées, entraînant la fermeture de 14 à 18 magasins.

L'impact de cet incident à l'époque a été si grand que tout le monde s'est étonné : « Même les pirates informatiques qui se concentrent sur le développement de virus ne peuvent probablement pas produire de logiciels malveillants capables de « mettre hors service » rapidement autant de machines comme le fait McAfee aujourd'hui.

Voici la description de l'incident par le SANS Internet Storm Center :

Les fichiers "DAT" McAfee version 5958 provoquent un grand nombre de problèmes avec Windows XP SP3. Les systèmes concernés entreront dans une boucle de redémarrage et perdront toute connectivité réseau. Ce fichier DAT problématique peut infecter des postes de travail individuels ainsi que des postes de travail connectés à un domaine. L'utilisation de « ePolicyOrchestrator » pour mettre à jour les fichiers de définitions de virus semble accélérer la propagation de ce fichier DAT problématique. ePolicyOrchestrator est généralement utilisé pour mettre à jour les fichiers « DAT » dans les entreprises, mais il n'a pas pu révoquer la signature problématique car les systèmes concernés ont perdu la connectivité réseau.

Svchost.exe est l'un des fichiers les plus importants du système Windows. Il héberge des services pour presque toutes les fonctions du système. Sans Svchost.exe, Windows ne peut pas démarrer du tout.

Bien que les deux incidents soient espacés de 14 ans, ils partagent la même perplexité : comment une telle mise à jour est-elle sortie du laboratoire de test pour atteindre le serveur de production. En théorie, ces problèmes devraient être découverts et résolus dès le début du processus de test.

Qui sont-ils?

George Kurtz a grandi à Parsippany-Troy Hills, New Jersey et a fréquenté le Parsippany High School.

Kurtz a déclaré qu'il avait commencé à programmer des jeux vidéo sur un ordinateur Commodore lorsqu'il était en quatrième année. Au lycée, une des premières plateformes de communication en ligne, le système de babillard électronique, a été créée.

Il est diplômé en comptabilité de l'Université Seton Hall.

Il a ensuite fondé Foundstone et a occupé le poste de directeur de la technologie chez McAfee.

Actuellement, George Kurtz est PDG de CrowdStrike, une société de cybersécurité cofondée avec Dmitri Alperovitch.

En plus de ses réalisations commerciales, il est également pilote de course.

Price Waterhouse et Foundstone

Après l'université, Kurtz a commencé sa carrière en tant qu'expert-comptable agréé (CPA) chez Price Waterhouse.

En 1993, Price Waterhouse a fait de Kurtz l'un des premiers employés de son nouveau groupe de sécurité.

En 1999, il a co-écrit Hacking Exposed, un livre sur la sécurité réseau destiné aux administrateurs réseau, avec Stuart McClure et Joel Scambiray. Le livre s'est vendu à plus de 600 000 exemplaires et a été traduit dans plus de 30 langues.

Plus tard cette année-là, il a lancé Foundstone, une société de cybersécurité qui a été l'une des premières sociétés à se spécialiser dans le conseil en sécurité. Foundstone est spécialisé dans les logiciels et services de gestion des vulnérabilités et a développé une activité de réponse aux incidents largement reconnue qui compte parmi ses clients de nombreuses sociétés Fortune 100.

McAfee

McAfee a acquis Foundstone pour 86 millions de dollars en août 2004 et Kurtz est devenu vice-président senior et directeur général de la gestion des risques de McAfee. Au cours de son mandat, il a contribué à l'élaboration de la stratégie de gestion des risques de sécurité de l'entreprise.

En octobre 2009, McAfee l'a nommé directeur mondial de la technologie et vice-président exécutif.

Au fil du temps, Kurtz est devenu frustré par la lenteur des technologies de sécurité existantes, car il estimait qu'elles ne suivaient pas le rythme des nouvelles menaces.

L'une des inspirations pour sa création de CrowdStrike a été lorsqu'il a vu un passager assis à côté de lui dans un avion attendant 15 minutes que le logiciel McAfee se charge sur son ordinateur portable.

Grève de foule

En novembre 2011, Kurtz a rejoint la société de capital-investissement Warburg Pincus en tant qu'« entrepreneur en résidence » et a commencé à travailler sur son prochain projet, CrowdStrike.

En février 2012, il s'est associé à l'ancien directeur financier de Foundstone, Gregg Marston, et à Dmitri Alperovitch pour créer officiellement CrowdStrike.

CrowdStrike déplace l'attention des produits anti-malware et antivirus (l'approche de McAfee en matière de cybersécurité) vers l'identification des techniques utilisées par les pirates informatiques afin de repérer les menaces entrantes. Et développé un modèle « cloud-first » pour réduire la charge logicielle sur les ordinateurs des clients.

En mai 2017, CrowdStrike était valorisé à plus d'un milliard de dollars. En 2019, l'introduction en bourse de la société au Nasdaq s'élevait à 612 millions de dollars américains, avec une valorisation de 6,6 milliards de dollars américains.

En juillet 2020, un rapport d'IDC a désigné CrowdStrike comme l'éditeur de logiciels de sécurité des points finaux à la croissance la plus rapide.

En 2024, Kurtz restera président-directeur général de CrowdStrike.

Effectivement, le monde n’est qu’une immense équipe de base.

Les références:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/