berita

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Laporan Kebijaksanaan Baru

Editor: Aeneas mengantuk sekali

[Pengantar Kebijaksanaan Baru] Benar saja, media asing baru saja mengetahui: CEO CrowdStrike yang menyebabkan bencana layar biru Microsoft kali ini membuat perangkat di seluruh dunia crash pada era Windows XP. Itu pembaruan yang sama, itu juga memutus perangkat, dan juga memerlukan perbaikan manual. Setelah dua kali menyebabkan bencana TI global, pria ini "sangat dikenang dalam sejarah".

Insiden layar biru global Microsoft telah terpecahkan!

Kesalahan logika sistem yang dipicu oleh file konfigurasi "C-00000291*.sys" langsung menghancurkan sekitar 1 miliar komputer di seluruh dunia, dan kemudian memicu semua efek tingkat kedua dan ketiga.

Seperti yang dikatakan master AI Karpathy, kegagalan sesaat yang masih terjadi di bidang teknis akan menyebabkan bahaya besar yang tersembunyi bagi masyarakat manusia.

Penggagas bencana TI global ini, CEO CrowdStrike, diungkapkan oleh media asing memiliki catatan kriminal—

Pada tahun 2010, dialah yang menggunakan pembaruan di McAfee untuk merusak perangkat di seluruh dunia!

Kesalahan logika memicu keruntuhan global

Segera setelah kegagalan terjadi, beberapa netizen mengeluarkan peringatan kepada semua orang - hentikan semua pembaruan CrowdStrike! Hentikan semua pembaruan CrowdStrike!

Terkait penyebab kejadian tersebut, Patrick Wardle, pendiri Objective-See Foundation, pun segera melakukan penyelidikan mendetail.

Pertama, dia melihat lokasi kesalahan – mov r9d, [r8]. Diantaranya, R8 termasuk dalam alamat yang belum dipetakan.

Lokasi ini diambil dari array pointer (disimpan dalam RAX), indeks RDX (0x14 * 0x8) menyimpan alamat memori yang tidak valid.

"Driver" lainnya (seperti "C-00000291-...32.sys") tampaknya merupakan data yang dikaburkan dan di-x-ref oleh "CSAgent.sys".

Oleh karena itu, mungkin data (konfigurasi/tanda tangan) yang tidak valid ini memicu kegagalan di CSAgent.sys.

Debugging memudahkan untuk menentukan hal ini.

Jelas, pertanyaan terpenting yang belum terjawab dalam kejadian tersebut adalah, apa sebenarnya file "C-00000291-...xxx.sys" ini?

Setelah CSAgent.sys mereferensikannya, ia langsung mogok; menghapusnya akan memperbaiki kerusakan tersebut.

Di VT, dia juga merekayasa balik CSAgent.sys serta data dari satu crash dump.

Terakhir, Wardle membagikan beberapa versi CSAgent.sys (+idb), serta berbagai file "C-....sys" (termasuk yang terbaru yang diyakininya berisi "perbaikan").

Ia mengatakan, karena ia tidak memiliki sistem Windows atau mesin virtual, ia berharap netizen bisa terus menggali.

Baru kemarin, pakar malware Malware Utkonos menemukan detail lebih lanjut -

Di alamat 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, sepertinya ada file magic check untuk 0xaaaaaaaa.

Mode ini juga merupakan empat byte pertama dari "File Saluran". File yang semuanya NULL dapat menyebabkan cmp gagal.

Seperti yang Anda lihat, nilai dalam rcx dibandingkan dengan 0xaaaaaaaa ditetapkan di bagian atas oleh ExAllocationPoolWithTagPriority. Ada buffer yang menerima data yang dibaca oleh ZwReadFile.

Nilai ini kemudian diteruskan ke fungsi menggunakan cmp (Utkonos menamai fungsi ini sebagai pemanggilan fungsi wdm.h internal dalam diagram).

Melalui pemeriksaan masuk akal, dapat ditemukan bahwa pola byte 0xaaaaaaaa hanya muncul sekali pada offset 0 dari "file saluran" yang dicentang di sini.

Berikut ini adalah alamat untuk menjalankan sesuatu seperti cmp.

Seperti yang Anda lihat, hanya 0xaaaaaaaa yang terlihat berbeda.

Penjelasan resmi CrowdStrike

Tak lama kemudian, penjelasan yang dirilis CrowdStrike di blog resminya memperjelas pertanyaan yang membuat bingung netizen——

Pada pukul 04:09 UTC tanggal 19 Juli 2024, CrowdStrike merilis pembaruan konfigurasi sensor ke sistem Windows selama operasi yang sedang berlangsung, yang juga merupakan bagian dari mekanisme perlindungan platform Falcon. Pembaruan konfigurasi ini memicu kesalahan logika yang menyebabkan crash dan kesalahan layar biru (BSOD) pada sistem yang terpengaruh. Pembaruan yang menyebabkan sistem mogok telah diperbaiki pada 19 Juli 2024 pukul 05:27 UTC.

Alamat laporan: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Detail teknisnya adalah sebagai berikut -

Dalam sistem Windows, file saluran terletak di direktori berikut: C:WindowsSystem32driversCrowdStrike, dan nama file dimulai dengan "C-". Setiap file saluran diidentifikasi dengan nomor unik.

File saluran yang terpengaruh dalam kejadian ini adalah 291, dan nama file dimulai dengan "C-00000291-" dan diakhiri dengan ekstensi .sys. Meskipun file saluran diakhiri dengan ekstensi SYS, mereka bukan driver kernel.

File saluran 291 memengaruhi cara Falcon mengevaluasi eksekusi pipa bernama pada sistem Windows. Pipa bernama ini adalah mekanisme yang digunakan untuk komunikasi normal antar proses atau antar sistem di Windows.

Pembaruan pada hari Jumat dimaksudkan untuk menargetkan pipa bernama berbahaya yang baru ditemukan yang digunakan dalam kerangka kerja C2 yang umum terjadi dalam serangan siber, namun hal ini justru memicu kesalahan logika dalam sistem, yang menyebabkan crash.

Ini tidak ada hubungannya dengan masalah byte nol di file saluran 291 atau file saluran lainnya.

Kejadian ini dijadikan lagu oleh netizen menggunakan Suno

Untuk memulihkan, Anda harus mem-boot mesin dalam mode aman, masuk sebagai administrator lokal dan menghapus konten - ini tidak mungkin dilakukan secara otomatis.

Oleh karena itu, kelumpuhan ini berdampak sangat besar dan sulit untuk disembuhkan.

Itu dia yang terakhir kali juga

CrowdStrike mengakui kesalahannya dan mengeluarkan permintaan maaf dan resolusi pada hari Jumat.

Namun mereka belum menjelaskan bagaimana pembaruan yang merusak itu dirilis tanpa pengujian dan tindakan keamanan lainnya.

Tentu saja, banyak suara kritis mulai fokus pada tokoh sentral insiden tersebut: CEO CrowdStrike, George Kurtz.

Analis industri teknologi Anshel Sag menunjukkan bahwa ini bukan pertama kalinya Kurtz memainkan peran penting dalam insiden besar TI.

Resepnya familiar, rasanya familiar

Pada tanggal 21 April 2010, perangkat lunak anti-virus McAfee merilis pembaruan perangkat lunak untuk pelanggan perusahaan.

Mendapatkan perangkat lunak yang diperbarui menghapus file penting dari sistem Windows, menyebabkan jutaan komputer di seluruh dunia mogok dan restart berulang kali.

Mirip dengan kesalahan CrowdStrike, masalah McAfee juga memerlukan perbaikan manual (perangkat terputus dan offline).

Dan Kurtz adalah chief technology officer McAfee pada saat itu.

Pada tahun 2012, Kurtz mendirikan CrowdStrike dan menjabat sebagai CEO hingga saat ini.

Apa yang terjadi pada tahun 2010?

Pada jam 6 pagi tanggal 21 April 2010, McAfee merilis pembaruan definisi virus yang "bermasalah" kepada pelanggan perusahaan.

Kemudian, komputer Windows XP yang diperbarui secara otomatis ini akan langsung masuk ke dalam lingkaran "reboot tak terbatas" hingga personel dukungan teknis tiba untuk memperbaikinya secara manual.

Alasan di baliknya sebenarnya sangat sederhana - setelah menerima definisi baru, perangkat lunak anti-virus akan mengidentifikasi file biner Windows biasa "svchost.exe" sebagai virus "W32/Wecorl.a" dan menghancurkannya.

Salah satu anggota staf TI universitas melaporkan bahwa 1.200 komputer di jaringannya mati akibat hal tersebut.

Email lain dari sebuah perusahaan AS mengatakan bahwa mereka memiliki "ratusan pengguna" yang terpengaruh:

Masalah ini mempengaruhi banyak pengguna, dan mengganti svchost.exe saja tidak akan menyelesaikan masalah. Anda harus boot ke mode aman, menginstal file extra.dat, dan kemudian menjalankan konsol vsca secara manual. Setelah itu, Anda juga perlu menghapus file yang dikarantina. Setiap pengguna memiliki setidaknya dua file yang dikarantina, dan beberapa pengguna memiliki sebanyak 15 file. Sayangnya, dengan menggunakan metode ini, Anda tidak dapat menentukan file mana yang Anda pulihkan yang merupakan file sistem penting dan mana yang merupakan file virus.

Selain itu, terdapat laporan dari Australia bahwa 10% mesin kasir jaringan supermarket terbesar di negara tersebut lumpuh, yang mengakibatkan penutupan 14 hingga 18 toko.

Dampak dari kejadian ini pada saat itu begitu besar sehingga semua orang terheran-heran: "Bahkan peretas yang berfokus pada pengembangan virus mungkin tidak dapat menghasilkan malware yang dapat dengan cepat 'menghancurkan' begitu banyak mesin seperti yang dilakukan McAfee saat ini."

Berikut penjelasan SANS Internet Storm Center mengenai kejadian tersebut:

File "DAT" McAfee versi 5958 menyebabkan banyak masalah dengan Windows XP SP3. Sistem yang terkena dampak akan memasuki loop reboot dan kehilangan semua konektivitas jaringan. File DAT yang bermasalah ini dapat menginfeksi workstation individual maupun workstation yang terhubung ke suatu domain. Menggunakan "ePolicyOrchestrator" untuk memperbarui file definisi virus tampaknya mempercepat penyebaran file DAT yang bermasalah ini. ePolicyOrchestrator biasanya digunakan untuk memperbarui file "DAT" di perusahaan, namun tidak dapat mencabut tanda tangan yang bermasalah karena sistem yang terpengaruh kehilangan konektivitas jaringan.

Svchost.exe adalah salah satu file terpenting dalam sistem Windows. Ini menampung layanan untuk hampir semua fungsi sistem. Tanpa Svchost.exe, Windows tidak dapat dijalankan sama sekali.

Meskipun kedua insiden tersebut berjarak 14 tahun, keduanya memiliki kebingungan yang sama - bagaimana pembaruan tersebut mengalir keluar dari lab pengujian dan masuk ke server produksi. Secara teori, masalah seperti itu harus ditemukan dan diselesaikan pada awal proses pengujian.

Siapa mereka?

George Kurtz dibesarkan di Parsippany-Troy Hills, New Jersey dan bersekolah di Parsippany High School.

Kurtz mengatakan dia mulai memprogram video game di komputer Commodore ketika dia duduk di bangku kelas empat. Di sekolah menengah, platform komunikasi online awal—sistem papan buletin—didirikan.

Ia lulus dari Seton Hall University dengan gelar di bidang akuntansi.

Dia kemudian mendirikan Foundstone dan menjabat sebagai chief technology officer di McAfee.

Saat ini, George Kurtz menjabat sebagai CEO CrowdStrike, sebuah perusahaan keamanan siber yang didirikan bersama Dmitri Alperovitch.

Selain prestasi bisnisnya, ia juga seorang pembalap.

Harga Waterhouse dan Foundstone

Setelah kuliah, Kurtz memulai karirnya sebagai Akuntan Publik Bersertifikat (CPA) di Price Waterhouse.

Pada tahun 1993, Price Waterhouse menjadikan Kurtz salah satu karyawan pertama dari kelompok keamanan yang baru dibentuk.

Pada tahun 1999, ia ikut menulis Hacking Expose, sebuah buku keamanan jaringan untuk administrator jaringan, bersama Stuart McClure dan Joel Scambray. Buku tersebut telah terjual lebih dari 600.000 eksemplar dan telah diterjemahkan ke lebih dari 30 bahasa.

Belakangan tahun itu, ia meluncurkan Foundstone, sebuah perusahaan keamanan siber yang merupakan salah satu perusahaan pertama yang berspesialisasi dalam konsultasi keamanan. Foundstone berspesialisasi dalam perangkat lunak dan layanan manajemen kerentanan dan telah mengembangkan bisnis respons insiden yang diakui secara luas yang menghitung banyak perusahaan Fortune 100 sebagai pelanggannya.

Perusahaan McAfee

McAfee mengakuisisi Foundstone seharga $86 juta pada Agustus 2004, dan Kurtz menjadi wakil presiden senior dan manajer umum manajemen risiko McAfee. Selama masa jabatannya, dia membantu mengembangkan strategi manajemen risiko keamanan perusahaan.

Pada bulan Oktober 2009, McAfee menunjuknya sebagai chief technology officer global dan wakil presiden eksekutif.

Seiring waktu, Kurtz menjadi frustrasi dengan lambatnya teknologi keamanan yang ada karena dia merasa teknologi tersebut tidak bisa mengimbangi laju ancaman baru.

Salah satu inspirasi pembuatan CrowdStrike adalah ketika ia melihat seorang penumpang duduk di sebelahnya di pesawat menunggu selama 15 menit hingga software McAfee dimuat di laptopnya.

Serangan Massa

Pada bulan November 2011, Kurtz bergabung dengan perusahaan ekuitas swasta Warburg Pincus sebagai "entrepreneur-in-residence" dan mulai mengerjakan proyek berikutnya, CrowdStrike.

Pada bulan Februari 2012, ia bergabung dengan mantan CFO Foundstone Gregg Marston dan Dmitri Alperovitch untuk secara resmi mendirikan CrowdStrike.

CrowdStrike mengalihkan fokus dari produk anti-malware dan anti-virus (pendekatan McAfee terhadap keamanan siber) ke mengidentifikasi teknik yang digunakan oleh peretas untuk mengenali ancaman yang masuk. Dan mengembangkan model "cloud-first" untuk mengurangi beban perangkat lunak pada komputer pelanggan.

Pada Mei 2017, CrowdStrike bernilai lebih dari $1 miliar. Pada tahun 2019, perusahaan mengumpulkan $612 juta dalam penawaran umum perdana di Nasdaq, dengan nilai $6,6 miliar.

Pada bulan Juli 2020, laporan IDC menyebut CrowdStrike sebagai vendor perangkat lunak keamanan titik akhir dengan pertumbuhan tercepat.

Pada tahun 2024, Kurtz akan tetap menjadi presiden dan CEO CrowdStrike.

Benar saja, dunia hanyalah tim akar rumput yang besar.

Referensi:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/