Νέα

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Νέα Έκθεση Σοφίας

Επιμέλεια: Αινείας τόσο νυσταγμένος

[Εισαγωγή στη Νέα Σοφία] Οπωσδήποτε, τα ξένα μέσα μόλις ανακάλυψαν: Ο Διευθύνων Σύμβουλος του CrowdStrike που προκάλεσε την καταστροφή της μπλε οθόνης της Microsoft αυτή τη φορά κατέρριψε συσκευές σε όλο τον κόσμο στην εποχή των Windows XP. Είναι η ίδια ενημέρωση, αποσυνδέει επίσης τη συσκευή και απαιτεί επίσης χειροκίνητη επισκευή. Έχοντας προκαλέσει δύο φορές παγκόσμιες καταστροφές στον τομέα της πληροφορικής, αυτός ο άνθρωπος μπορεί να «μνημονευτεί διάσημα στην ιστορία».

Το παγκόσμιο περιστατικό μπλε οθόνης της Microsoft λύθηκε!

Ένα σφάλμα λογικής συστήματος που προκλήθηκε από το αρχείο διαμόρφωσης "C-00000291*.sys" κατέστρεψε αμέσως περίπου 1 δισεκατομμύριο υπολογιστές σε όλο τον κόσμο και στη συνέχεια ενεργοποίησε όλα τα εφέ δεύτερης και τρίτης τάξης.

Όπως είπε ο δάσκαλος της AI Karpathy, οι στιγμιαίες αστοχίες ενός σημείου που εξακολουθούν να υπάρχουν στον τεχνικό τομέα θα προκαλέσουν τεράστιους κρυφούς κινδύνους για την ανθρώπινη κοινωνία.

Ο εμπνευστής αυτής της παγκόσμιας καταστροφής TI, ο Διευθύνων Σύμβουλος της CrowdStrike, αποκαλύφθηκε από ξένα μέσα ενημέρωσης ότι έχει ποινικό μητρώο——

Το 2010, ήταν αυτός που χρησιμοποίησε μια ενημέρωση στο McAfee για να κρασάρει συσκευές σε όλο τον κόσμο!

Λογικό σφάλμα πυροδοτεί παγκόσμια κατάρρευση

Μόλις παρουσιάστηκε η αποτυχία, ορισμένοι χρήστες του Διαδικτύου εξέδωσαν μια προειδοποίηση προς όλους - σταματήστε όλες τις ενημερώσεις του CrowdStrike! Διακοπή όλων των ενημερώσεων CrowdStrike!

Σχετικά με την αιτία του περιστατικού, ο Πάτρικ Γουόρντλ, ιδρυτής του Ιδρύματος Objective-See, διεξήγαγε επίσης αμέσως λεπτομερή έρευνα.

Πρώτα, κοίταξε τη θέση του σφάλματος - mov r9d, [r8]. Μεταξύ αυτών, το R8 ανήκει στην μη χαρτογραφημένη διεύθυνση.

Αυτή η θέση λαμβάνεται από τον πίνακα δείκτη (αποθηκευμένο σε RAX), το ευρετήριο RDX (0x14 * 0x8) περιέχει μια μη έγκυρη διεύθυνση μνήμης.

Άλλα "προγράμματα οδήγησης" (όπως το "C-00000291-...32.sys") φαίνεται να είναι ασαφή δεδομένα και να έχουν επισημανθεί από το "CSAgent.sys".

Επομένως, ίσως αυτά τα μη έγκυρα δεδομένα (διαμόρφωση/υπογραφή) να προκάλεσαν την αποτυχία στο CSAgent.sys.

Ο εντοπισμός σφαλμάτων διευκολύνει τον προσδιορισμό αυτού.

Προφανώς, το πιο σημαντικό αναπάντητο ερώτημα στο περιστατικό είναι, τι ακριβώς είναι αυτό το αρχείο "C-00000291-...xxx.sys";

Μόλις το CSAgent.sys τα αναφέρει, διακόπτεται αμέσως η διαγραφή τους.

Στο VT, αναμόρφωσε επίσης το CSAgent.sys καθώς και δεδομένα από ένα μόνο crash dump.

Τέλος, ο Wardle μοιράστηκε πολλές εκδόσεις του CSAgent.sys (+idb), καθώς και διάφορα αρχεία "C-....sys" (συμπεριλαμβανομένου του πιο πρόσφατου που πίστευε ότι περιείχε την "διόρθωση").

Είπε ότι εφόσον δεν διαθέτει συστήματα Windows ή εικονικές μηχανές, ελπίζει ότι οι χρήστες του Διαδικτύου μπορούν να συνεχίσουν να σκάβουν.

Μόλις χθες, ο ειδικός σε κακόβουλο λογισμικό Malware Utkonos ανακάλυψε περισσότερες λεπτομέρειες -

Στη διεύθυνση 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, φαίνεται να υπάρχει ένας μαγικός έλεγχος αρχείου για 0xaaaaaaaaa.

Αυτή η λειτουργία είναι επίσης τα πρώτα τέσσερα byte των "Αρχείων καναλιού". Τα αρχεία που είναι όλα NULL ενδέχεται να προκαλέσουν αποτυχία του cmp.

Όπως μπορείτε να δείτε, η τιμή σε rcx σε σύγκριση με το 0xaaaaaaaa εκχωρείται στην κορυφή από το ExAllocatePoolWithTagPriority. Υπάρχει το buffer που λαμβάνει τα δεδομένα που διαβάζονται από το ZwReadFile.

Αυτή η τιμή μεταβιβάζεται στη συνέχεια στις συναρτήσεις χρησιμοποιώντας το cmp (η Utkonos ονόμασε αυτές τις συναρτήσεις ως εσωτερικές κλήσεις συναρτήσεων wdm.h στο διάγραμμα).

Μέσω του ελέγχου αληθοφάνειας, μπορεί να διαπιστωθεί ότι το μοτίβο byte 0xaaaaaaaa εμφανίζεται μόνο μία φορά στη μετατόπιση 0 του "αρχείου καναλιού" που ελέγχεται εδώ.

Η παρακάτω είναι η διεύθυνση για να εκτελέσετε κάτι σαν cmp.

Όπως μπορείτε να δείτε, μόνο το 0xaaaaaaaa φαίνεται διαφορετικό.

Επίσημη εξήγηση του CrowdStrike

Σύντομα, η εξήγηση που κυκλοφόρησε από το CrowdStrike στο επίσημο ιστολόγιο του ξεκαθάρισε τα ερωτήματα για τα οποία μπερδεύονταν οι χρήστες του Διαδικτύου——

Στις 04:09 UTC στις 19 Ιουλίου 2024, η CrowdStrike κυκλοφόρησε μια ενημέρωση διαμόρφωσης αισθητήρα στα συστήματα Windows κατά τη διάρκεια συνεχιζόμενων λειτουργιών, η οποία αποτελεί επίσης μέρος του μηχανισμού προστασίας της πλατφόρμας Falcon. Αυτή η ενημέρωση διαμόρφωσης ενεργοποίησε ένα λογικό σφάλμα που προκάλεσε σφάλμα και μπλε οθόνη σφάλματος (BSOD) στα επηρεαζόμενα συστήματα. Η ενημέρωση που προκάλεσε την κατάρρευση του συστήματος διορθώθηκε στις 19 Ιουλίου 2024 στις 05:27 UTC.

Διεύθυνση αναφοράς: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Οι τεχνικές λεπτομέρειες έχουν ως εξής -

Στα συστήματα Windows, το αρχείο καναλιού βρίσκεται στον ακόλουθο κατάλογο: C:WindowsSystem32driversCrowdStrike και το όνομα του αρχείου ξεκινά με "C-". Κάθε αρχείο καναλιού προσδιορίζεται από έναν μοναδικό αριθμό.

Το αρχείο καναλιού που επηρεάζεται σε αυτό το συμβάν είναι 291 και το όνομα του αρχείου ξεκινά με "C-00000291-" και τελειώνει με την επέκταση .sys. Αν και τα αρχεία καναλιού τελειώνουν με την επέκταση SYS, δεν είναι προγράμματα οδήγησης πυρήνα.

Το αρχείο καναλιού 291 επηρεάζει τον τρόπο με τον οποίο το Falcon αξιολογεί την εκτέλεση ονομασμένων σωλήνων σε συστήματα Windows. Αυτοί οι αγωγοί με το όνομα είναι ο μηχανισμός που χρησιμοποιείται για την κανονική επικοινωνία μεταξύ διεργασιών ή μεταξύ συστημάτων στα Windows.

Η ενημέρωση της Παρασκευής είχε ως στόχο να στοχεύσει πρόσφατα ανακαλυφθέντες κακόβουλους αγωγούς που χρησιμοποιούνται σε πλαίσια C2 που είναι κοινά σε κυβερνοεπιθέσεις, αλλά στην πραγματικότητα προκάλεσε ένα λογικό σφάλμα στο σύστημα, που οδήγησε σε συντριβή.

Ωστόσο, αυτό δεν έχει να κάνει με ζητήματα null byte στο αρχείο καναλιού 291 ή σε οποιοδήποτε άλλο αρχείο καναλιού.

Αυτό το περιστατικό έχει μετατραπεί σε τραγούδι από χρήστες του Διαδικτύου χρησιμοποιώντας το Suno

Για να ανακτήσετε, πρέπει να εκκινήσετε το μηχάνημα σε ασφαλή λειτουργία, να συνδεθείτε ως τοπικός διαχειριστής και να διαγράψετε το περιεχόμενο - αυτό είναι αδύνατο να αυτοματοποιηθεί.

Επομένως, αυτή η παράλυση έχει τόσο τεράστιο αντίκτυπο και είναι δύσκολο να ανακάμψει.

Ήταν και την τελευταία φορά

Το CrowdStrike αναγνώρισε το λάθος του και εξέδωσε συγγνώμη και ψήφισμα την Παρασκευή.

Αλλά δεν έχουν εξηγήσει ακόμη πώς κυκλοφόρησε η επιζήμια ενημέρωση χωρίς δοκιμές και άλλα μέτρα ασφαλείας.

Όπως ήταν φυσικό, πολλές επικριτικές φωνές άρχισαν να επικεντρώνονται στο κεντρικό πρόσωπο του περιστατικού: τον Διευθύνοντα Σύμβουλο της CrowdStrike, George Kurtz.

Ο αναλυτής του κλάδου της τεχνολογίας Anshel Sag επεσήμανε ότι δεν είναι η πρώτη φορά που ο Kurtz έπαιξε σημαντικό ρόλο σε ένα σημαντικό περιστατικό πληροφορικής.

Γνωστή συνταγή, γνώριμη γεύση

Στις 21 Απριλίου 2010, το λογισμικό προστασίας από ιούς McAfee κυκλοφόρησε μια ενημέρωση λογισμικού για εταιρικούς πελάτες.

Η απόκτηση του ενημερωμένου λογισμικού διέγραψε ένα κρίσιμο αρχείο από τα συστήματα Windows, προκαλώντας τη διακοπή λειτουργίας και επανεκκίνηση εκατομμυρίων υπολογιστών σε όλο τον κόσμο.

Παρόμοια με το σφάλμα του CrowdStrike, το πρόβλημα του McAfee απαιτεί επίσης χειροκίνητη επισκευή (η συσκευή είναι αποσυνδεδεμένη και εκτός σύνδεσης).

Και ο Kurtz ήταν ο επικεφαλής τεχνολογίας της McAfee εκείνη την εποχή.

Το 2012, ο Kurtz ίδρυσε την CrowdStrike και έχει υπηρετήσει ως Διευθύνων Σύμβουλος μέχρι σήμερα.

Τι συνέβη το 2010;

Στις 6 π.μ. στις 21 Απριλίου 2010, η McAfee κυκλοφόρησε μια "προβληματική" ενημέρωση ορισμού ιών σε εταιρικούς πελάτες.

Στη συνέχεια, αυτοί οι υπολογιστές με Windows XP που ενημερώνονται αυτόματα θα πέσουν απευθείας σε έναν βρόχο "άπειρης επανεκκίνησης" μέχρι να φτάσει το προσωπικό τεχνικής υποστήριξης για να το επισκευάσει με μη αυτόματο τρόπο.

Ο λόγος πίσω από αυτό είναι στην πραγματικότητα πολύ απλός - αφού λάβει τον νέο ορισμό, το λογισμικό προστασίας από ιούς θα αναγνωρίσει ένα κανονικό δυαδικό αρχείο των Windows "svchost.exe" ως τον ιό "W32/Wecorl.a" και θα το καταστρέψει.

Ένα μέλος του προσωπικού πληροφορικής του πανεπιστημίου ανέφερε ότι 1.200 υπολογιστές στο δίκτυό του ήταν εκτός λειτουργίας ως αποτέλεσμα.

Ένα άλλο email από μια αμερικανική εταιρεία ανέφερε ότι επηρεάστηκαν "εκατοντάδες χρήστες":

Αυτό το ζήτημα επηρεάζει μεγάλο αριθμό χρηστών και η απλή αντικατάσταση του svchost.exe δεν λύνει το πρόβλημα. Πρέπει να εκκινήσετε σε ασφαλή λειτουργία, να εγκαταστήσετε το αρχείο extra.dat και, στη συνέχεια, να εκτελέσετε μη αυτόματα την κονσόλα vsca. Μετά από αυτό, πρέπει επίσης να διαγράψετε τα αρχεία σε καραντίνα. Κάθε χρήστης έχει τουλάχιστον δύο αρχεία σε καραντίνα και ορισμένοι χρήστες έχουν έως και 15. Δυστυχώς, χρησιμοποιώντας αυτήν τη μέθοδο, δεν μπορείτε να προσδιορίσετε ποια από τα αρχεία που ανακτάτε είναι σημαντικά αρχεία συστήματος και ποια αρχεία ιών.

Επιπλέον, υπάρχει αναφορά από την Αυστραλία ότι το 10% των ταμειακών μηχανών της μεγαλύτερης αλυσίδας σούπερ μάρκετ της χώρας παρέλυσαν, με αποτέλεσμα να κλείσουν 14 έως 18 καταστήματα.

Ο αντίκτυπος αυτού του περιστατικού εκείνη την εποχή ήταν τόσο μεγάλος που όλοι θαύμασαν: «Ακόμα και οι χάκερ που επικεντρώνονται στην ανάπτυξη ιών πιθανότατα δεν μπορούν να παράγουν κακόβουλο λογισμικό που μπορεί γρήγορα να «καταργήσει» τόσα πολλά μηχανήματα όπως το McAfee σήμερα».

Ακολουθεί η περιγραφή του συμβάντος από το SANS Internet Storm Center:

Τα αρχεία "DAT" της McAfee έκδοσης 5958 προκαλούν μεγάλο αριθμό προβλημάτων με το Windows XP SP3. Τα επηρεαζόμενα συστήματα θα εισέλθουν σε βρόχο επανεκκίνησης και θα χάσουν όλη τη συνδεσιμότητα δικτύου. Αυτό το προβληματικό αρχείο DAT μπορεί να μολύνει μεμονωμένους σταθμούς εργασίας καθώς και σταθμούς εργασίας που είναι συνδεδεμένοι σε έναν τομέα. Η χρήση του "ePolicyOrchestrator" για την ενημέρωση αρχείων ορισμού ιών φαίνεται να επιταχύνει την εξάπλωση αυτού του προβληματικού αρχείου DAT. Το ePolicyOrchestrator χρησιμοποιείται συνήθως για την ενημέρωση αρχείων "DAT" σε επιχειρήσεις, αλλά δεν ήταν δυνατή η ανάκληση της προβληματικής υπογραφής επειδή τα επηρεαζόμενα συστήματα έχασαν τη συνδεσιμότητα δικτύου.

Το Svchost.exe είναι ένα από τα πιο σημαντικά αρχεία στο σύστημα Windows Φιλοξενεί υπηρεσίες για όλες σχεδόν τις λειτουργίες του συστήματος. Χωρίς το Svchost.exe, τα Windows δεν μπορούν να ξεκινήσουν καθόλου.

Αν και τα δύο περιστατικά έχουν διαφορά 14 ετών, μοιράζονται την ίδια σύγχυση - πώς μια τέτοια ενημέρωση βγήκε από το εργαστήριο δοκιμών και στον διακομιστή παραγωγής. Θεωρητικά, τέτοια προβλήματα θα πρέπει να ανακαλύπτονται και να επιλύονται νωρίς στη διαδικασία δοκιμών.

Ποιοι είναι αυτοί;

Ο George Kurtz μεγάλωσε στο Parsippany-Troy Hills του Νιου Τζέρσεϊ και φοίτησε στο γυμνάσιο Parsippany.

Ο Kurtz είπε ότι ξεκίνησε να προγραμματίζει βιντεοπαιχνίδια σε έναν υπολογιστή Commodore όταν ήταν στην τέταρτη δημοτικού. Στο γυμνάσιο, δημιουργήθηκε μια πρώιμη διαδικτυακή πλατφόρμα επικοινωνίας - το σύστημα του πίνακα ανακοινώσεων.

Αποφοίτησε από το Πανεπιστήμιο Seton Hall με πτυχίο στη λογιστική.

Αργότερα ίδρυσε τη Foundstone και υπηρέτησε ως επικεφαλής τεχνολογίας της McAfee.

Επί του παρόντος, ο George Kurtz είναι Διευθύνων Σύμβουλος της CrowdStrike, μιας εταιρείας κυβερνοασφάλειας που ιδρύθηκε από κοινού με τον Dmitri Alperovitch.

Εκτός από τα επιχειρηματικά του επιτεύγματα, είναι και οδηγός αγώνων.

Price Waterhouse και Foundstone

Μετά το κολέγιο, ο Kurtz ξεκίνησε την καριέρα του ως Ορκωτός Λογιστής (CPA) στην Price Waterhouse.

Το 1993, η Price Waterhouse έκανε τον Kurtz έναν από τους πρώτους υπαλλήλους της νεοσύστατης ομάδας ασφαλείας της.

Το 1999, συνέγραψε το Hacking Exposur, ένα βιβλίο ασφάλειας δικτύου για διαχειριστές δικτύων, με τους Stuart McClure και Joel Scambray. Το βιβλίο έχει πουλήσει περισσότερα από 600.000 αντίτυπα και έχει μεταφραστεί σε περισσότερες από 30 γλώσσες.

Αργότερα το ίδιο έτος, ίδρυσε τη Foundstone, μια εταιρεία κυβερνοασφάλειας που ήταν μια από τις πρώτες εταιρείες που ειδικεύτηκαν στη συμβουλευτική ασφάλειας. Η Foundstone ειδικεύεται σε λογισμικό και υπηρεσίες διαχείρισης ευπάθειας και έχει αναπτύξει μια ευρέως αναγνωρισμένη επιχείρηση αντιμετώπισης περιστατικών που μετρά πολλές εταιρείες του Fortune 100 ως πελάτες.

McAfee

Η McAfee εξαγόρασε τη Foundstone για 86 εκατομμύρια δολάρια τον Αύγουστο του 2004 και ο Kurtz έγινε ανώτερος αντιπρόεδρος και γενικός διευθυντής διαχείρισης κινδύνου της McAfee. Κατά τη διάρκεια της θητείας του, βοήθησε στην ανάπτυξη της στρατηγικής διαχείρισης κινδύνων ασφαλείας της εταιρείας.

Τον Οκτώβριο του 2009, ο McAfee τον διόρισε παγκόσμιο επικεφαλής τεχνολογίας και εκτελεστικό αντιπρόεδρο.

Με την πάροδο του χρόνου, ο Kurtz απογοητεύτηκε με τη βραδύτητα των υφιστάμενων τεχνολογιών ασφαλείας επειδή ένιωθε ότι δεν συμβαδίζουν με τον ρυθμό των νέων απειλών.

Μία από τις εμπνεύσεις για τη δημιουργία του CrowdStrike ήταν όταν είδε έναν επιβάτη να κάθεται δίπλα του σε ένα αεροπλάνο και να περιμένει για 15 λεπτά για να φορτώσει το λογισμικό McAfee στον φορητό υπολογιστή του.

CrowdStrike

Τον Νοέμβριο του 2011, ο Kurtz εντάχθηκε στην εταιρεία ιδιωτικών μετοχών Warburg Pincus ως «επιχειρηματίας στην κατοικία» και άρχισε να εργάζεται στο επόμενο έργο του, το CrowdStrike.

Τον Φεβρουάριο του 2012, ένωσε τις δυνάμεις του με τον πρώην CFO της Foundstone, Γκρεγκ Μάρστον και τον Ντμίτρι Αλπέροβιτς, για να ιδρύσουν επίσημα το CrowdStrike.

Το CrowdStrike μετατοπίζει την εστίαση από τα προϊόντα προστασίας από κακόβουλο λογισμικό και ιούς (προσέγγιση της McAfee για την ασφάλεια στον κυβερνοχώρο) στον εντοπισμό των τεχνικών που χρησιμοποιούνται από τους χάκερ για τον εντοπισμό εισερχόμενων απειλών. Και ανέπτυξε ένα μοντέλο "σύννεφο πρώτα" για να μειώσει την επιβάρυνση λογισμικού στους υπολογιστές των πελατών.

Τον Μάιο του 2017, η αξία του CrowdStrike ήταν πάνω από 1 δισεκατομμύριο δολάρια. Το 2019, η εταιρεία συγκέντρωσε 612 εκατομμύρια δολάρια στην αρχική δημόσια προσφορά της στο Nasdaq, αποτιμώντας την στα 6,6 δισεκατομμύρια δολάρια.

Τον Ιούλιο του 2020, μια έκθεση IDC ονόμασε το CrowdStrike τον ταχύτερα αναπτυσσόμενο προμηθευτή λογισμικού ασφαλείας τερματικού σημείου.

Το 2024, ο Kurtz θα παραμείνει πρόεδρος και διευθύνων σύμβουλος της CrowdStrike.

Σίγουρα, ο κόσμος είναι απλώς μια τεράστια ομάδα βάσης.

Βιβλιογραφικές αναφορές:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/