notizia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Nuovo rapporto sulla saggezza

Redattore: Enea così assonnato

[Introduzione alla Nuova Saggezza] Assolutamente sì, i media stranieri lo hanno appena scoperto: il CEO di CrowdStrike che ha causato il disastro della schermata blu di Microsoft questa volta ha mandato in crash i dispositivi di tutto il mondo nell'era di Windows XP. È lo stesso aggiornamento, disconnette anche il dispositivo e richiede anche una riparazione manuale. Avendo causato due volte disastri informatici globali, quest'uomo può essere "notoriamente ricordato nella storia".

L’incidente globale della schermata blu di Microsoft è stato risolto!

Un errore logico di sistema innescato dal file di configurazione "C-00000291*.sys" ha distrutto istantaneamente circa 1 miliardo di computer in tutto il mondo e successivamente ha innescato tutti gli effetti di secondo e terzo ordine.

Come ha affermato il maestro dell'intelligenza artificiale Karpathy, i guasti istantanei in un unico punto che ancora esistono nel campo tecnico causeranno enormi pericoli nascosti alla società umana.

I media stranieri hanno rivelato che l'iniziatore di questo disastro globale di TI, l'amministratore delegato di CrowdStrike, ha precedenti penali——

Nel 2010, è stato lui a utilizzare un aggiornamento McAfee per mandare in crash i dispositivi in ​​tutto il mondo!

L’errore logico innesca il collasso globale

Non appena si è verificato l'errore, alcuni netizen hanno lanciato un avvertimento a tutti: interrompete tutti gli aggiornamenti di CrowdStrike! Interrompi tutti gli aggiornamenti di CrowdStrike!

Per quanto riguarda la causa dell'incidente, anche Patrick Wardle, fondatore della Fondazione Objective-See, ha condotto immediatamente un'indagine approfondita.

Innanzitutto, ha esaminato la posizione del guasto: mov r9d, [r8]. Tra questi, R8 appartiene all'indirizzo non mappato.

Questa posizione viene presa dall'array di puntatori (salvato in RAX), l'indice RDX (0x14 * 0x8) contiene un indirizzo di memoria non valido.

Altri "driver" (come "C-00000291-...32.sys") sembrano essere dati offuscati e x-ref da "CSAgent.sys".

Pertanto, forse questi dati non validi (configurazione/firma) hanno innescato l'errore in CSAgent.sys.

Eseguendo il debug, questo può essere determinato più facilmente.

Ovviamente, la domanda più importante senza risposta nell'incidente è: cos'è esattamente questo file "C-00000291-...xxx.sys"?

Una volta che CSAgent.sys fa riferimento a loro, si blocca immediatamente; la loro eliminazione risolve il problema.

Su VT, ha anche effettuato il reverse engineering di CSAgent.sys e dei dati di un singolo crash dump.

Infine, Wardle ha condiviso diverse versioni di CSAgent.sys (+idb), nonché vari file "C-....sys" (incluso l'ultimo che credeva contenesse la "correzione").

Ha detto che dal momento che non ha alcun sistema Windows o macchina virtuale, spera che i netizen possano continuare a scavare.

Proprio ieri, l'esperto di malware Malware Utkonos ha scoperto ulteriori dettagli:

All'indirizzo 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, sembra che ci sia un controllo magico del file per 0xaaaaaaaa.

Questa modalità riguarda anche i primi quattro byte di "File canale". I file che sono tutti NULL potrebbero causare il fallimento del cmp.

Come puoi vedere, il valore in rcx rispetto a 0xaaaaaaaa è assegnato in alto da ExAllocatePoolWithTagPriority. C'è il buffer che riceve i dati letti da ZwReadFile.

Questo valore viene quindi passato alle funzioni utilizzando cmp (Utkonos ha chiamato queste funzioni come chiamate di funzione interne wdm.h nel diagramma).

Dal controllo di plausibilità si è constatato che il modello di byte 0xaaaaaaaa appare solo una volta nell'offset 0 del "file canale" qui controllato.

Quello che segue è l'indirizzo per eseguire qualcosa come cmp.

Come puoi vedere, solo 0xaaaaaaaa sembra diverso.

Spiegazione ufficiale di CrowdStrike

Ben presto, la spiegazione rilasciata da CrowdStrike sul suo blog ufficiale ha chiarito le domande su cui gli utenti della rete erano confusi:

Alle 04:09 UTC del 19 luglio 2024, CrowdStrike ha rilasciato un aggiornamento della configurazione del sensore per i sistemi Windows durante le operazioni in corso, che fa anche parte del meccanismo di protezione della piattaforma Falcon. Questo aggiornamento della configurazione ha attivato un errore logico che ha causato un arresto anomalo e una schermata blu di errore (BSOD) sui sistemi interessati. L'aggiornamento che causava l'arresto anomalo del sistema è stato corretto il 19 luglio 2024 alle 05:27 UTC.

Indirizzo del rapporto: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

I dettagli tecnici sono i seguenti -

Nei sistemi Windows, il file del canale si trova nella seguente directory: C:WindowsSystem32driversCrowdStrike e il nome del file inizia con "C-". Ogni file di canale è identificato da un numero univoco.

Il file del canale interessato da questo incidente è 291 e il nome del file inizia con "C-00000291-" e termina con l'estensione .sys. Sebbene i file canale terminino con l'estensione SYS, non sono driver del kernel.

Il file di canale 291 influisce sul modo in cui Falcon valuta l'esecuzione della pipe denominata sui sistemi Windows. Queste pipe denominate sono il meccanismo utilizzato per la normale comunicazione tra processi o tra sistemi in Windows.

L'aggiornamento di venerdì aveva lo scopo di prendere di mira le name pipe dannose recentemente scoperte utilizzate nei framework C2 che sono comuni negli attacchi informatici, ma in realtà ha innescato un errore logico nel sistema, portando a un arresto anomalo.

Tuttavia, ciò non ha nulla a che fare con i problemi di byte nulli nel file di canale 291 o in qualsiasi altro file di canale.

Questo incidente è stato trasformato in una canzone dagli utenti della rete che utilizzano Suno

Per eseguire il ripristino, è necessario avviare la macchina in modalità provvisoria, accedere come amministratore locale ed eliminare il contenuto: è impossibile automatizzare questa operazione.

Pertanto, questa paralisi ha un impatto così enorme ed è difficile riprendersi.

Era lui anche l'ultima volta

CrowdStrike ha riconosciuto il suo errore e venerdì ha rilasciato delle scuse e una risoluzione.

Ma non hanno ancora spiegato come sia stato rilasciato l’aggiornamento dannoso senza test e altre misure di sicurezza.

Naturalmente, molte voci critiche hanno iniziato a concentrarsi sulla figura centrale dell’incidente: il CEO di CrowdStrike George Kurtz.

Anshel Sag, analista del settore tecnologico, ha sottolineato che questa non è la prima volta che Kurtz gioca un ruolo importante in un grave incidente informatico.

Ricetta familiare, gusto familiare

Il 21 aprile 2010, il software antivirus McAfee ha rilasciato un aggiornamento software per i clienti aziendali.

L'ottenimento del software aggiornato ha eliminato un file critico dai sistemi Windows, causando l'arresto anomalo e il riavvio ripetuto di milioni di computer in tutto il mondo.

Similmente all'errore di CrowdStrike, anche il problema di McAfee richiede una riparazione manuale (il dispositivo è disconnesso e offline).

E all'epoca Kurtz era il responsabile tecnologico di McAfee.

Nel 2012, Kurtz ha fondato CrowdStrike e fino ad oggi è stato CEO.

Cosa è successo nel 2010?

Alle 6 del mattino del 21 aprile 2010, McAfee ha rilasciato un aggiornamento "problematico" delle definizioni dei virus ai clienti aziendali.

Quindi, questi computer Windows XP aggiornati automaticamente cadranno direttamente in un ciclo di "riavvio infinito" finché il personale del supporto tecnico non arriverà per ripararli manualmente.

Il motivo è in realtà molto semplice: dopo aver ricevuto la nuova definizione, il software antivirus identificherà un normale file binario di Windows "svchost.exe" come virus "W32/Wecorl.a" e lo distruggerà.

Un membro dello staff IT dell'università ha riferito che di conseguenza 1.200 computer sulla sua rete erano inattivi.

Un'altra e-mail proveniente da un'azienda statunitense afferma che sono stati colpiti "centinaia di utenti":

Questo problema riguarda un gran numero di utenti e la semplice sostituzione di svchost.exe non risolve il problema. È necessario avviare in modalità provvisoria, installare il file extra.dat e quindi eseguire manualmente la console Vsca. Successivamente, è necessario eliminare anche i file in quarantena. Ogni utente ha almeno due file in quarantena e alcuni utenti ne hanno fino a 15. Sfortunatamente, utilizzando questo metodo, non è possibile determinare quali file ripristinati sono file di sistema importanti e quali sono file di virus.

Inoltre, secondo un rapporto proveniente dall'Australia, il 10% dei registratori di cassa della più grande catena di supermercati del paese sono rimasti paralizzati, con la conseguente chiusura di 14-18 negozi.

L'impatto di questo incidente all'epoca fu così grande che tutti si meravigliarono: "Anche gli hacker che si concentrano sullo sviluppo di virus probabilmente non sono in grado di produrre malware in grado di 'eliminare' rapidamente così tante macchine come fa oggi McAfee."

Quella che segue è la descrizione dell'incidente fornita dal SANS Internet Storm Center:

I file "DAT" McAfee versione 5958 causano numerosi problemi con Windows XP SP3. I sistemi interessati entreranno in un ciclo di riavvio e perderanno tutta la connettività di rete. Questo file DAT problematico può infettare sia singole workstation che workstation collegate a un dominio. L'utilizzo di "ePolicyOrchestrator" per aggiornare i file di definizione dei virus sembra accelerare la diffusione di questo file DAT problematico. ePolicyOrchestrator viene generalmente utilizzato per aggiornare i file "DAT" nelle aziende, ma non è stato in grado di revocare la firma problematica perché i sistemi interessati hanno perso la connettività di rete.

Svchost.exe è uno dei file più importanti nel sistema Windows. Ospita servizi per quasi tutte le funzioni di sistema. Senza Svchost.exe, Windows non può avviarsi affatto.

Anche se i due incidenti sono a 14 anni di distanza, condividono la stessa perplessità: come un simile aggiornamento sia passato dal laboratorio di test al server di produzione. In teoria, tali problemi dovrebbero essere scoperti e risolti nelle prime fasi del processo di test.

Loro chi sono?

George Kurtz è cresciuto a Parsippany-Troy Hills, nel New Jersey e ha frequentato la Parsippany High School.

Kurtz ha detto di aver iniziato a programmare videogiochi su un computer Commodore quando era in quarta elementare. Al liceo è stata istituita una delle prime piattaforme di comunicazione online, il sistema di bacheca elettronica.

Si è laureato in contabilità alla Seton Hall University.

Successivamente ha fondato Foundstone e ha ricoperto il ruolo di Chief Technology Officer di McAfee.

Attualmente, George Kurtz è CEO di CrowdStrike, una società di sicurezza informatica co-fondata con Dmitri Alperovitch.

Oltre ai suoi successi imprenditoriali, è anche un pilota da corsa.

Prezzo Waterhouse e Foundstone

Dopo il college, Kurtz ha iniziato la sua carriera come commercialista certificato (CPA) presso Price Waterhouse.

Nel 1993, Price Waterhouse nominò Kurtz uno dei primi dipendenti del suo gruppo di sicurezza appena formato.

Nel 1999, è stato coautore di Hacking Exposed, un libro sulla sicurezza di rete per amministratori di rete, con Stuart McClure e Joel Scambray. Il libro ha venduto più di 600.000 copie ed è stato tradotto in più di 30 lingue.

Nello stesso anno lanciò Foundstone, una società di sicurezza informatica che fu una delle prime aziende a specializzarsi nella consulenza sulla sicurezza. Foundstone è specializzata in software e servizi per la gestione delle vulnerabilità e ha sviluppato un'attività di risposta agli incidenti ampiamente riconosciuta che conta come clienti molte aziende Fortune 100.

McAfee

McAfee ha acquisito Foundstone per 86 milioni di dollari nell'agosto 2004 e Kurtz è diventato vicepresidente senior e direttore generale della gestione del rischio di McAfee. Durante il suo mandato, ha contribuito a sviluppare la strategia di gestione dei rischi per la sicurezza dell'azienda.

Nell'ottobre 2009, McAfee lo ha nominato Global Chief Technology Officer e Vice Presidente Esecutivo.

Con il passare del tempo, Kurtz cominciò a sentirsi frustrato dalla lentezza delle tecnologie di sicurezza esistenti perché riteneva che non riuscissero a tenere il passo con le nuove minacce.

Una delle ispirazioni per la creazione di CrowdStrike è stata quando ha visto un passeggero seduto accanto a lui su un aereo in attesa per 15 minuti che il software McAfee si caricasse sul suo laptop.

Sciopero della folla

Nel novembre 2011, Kurtz è entrato a far parte della società di private equity Warburg Pincus come "imprenditore residente" e ha iniziato a lavorare al suo progetto successivo, CrowdStrike.

Nel febbraio 2012, ha unito le forze con l'ex CFO di Foundstone Gregg Marston e Dmitri Alperovitch per fondare formalmente CrowdStrike.

CrowdStrike sposta l'attenzione dai prodotti anti-malware e anti-virus (l'approccio di McAfee alla sicurezza informatica) all'identificazione delle tecniche utilizzate dagli hacker per individuare le minacce in arrivo. E ha sviluppato un modello "cloud-first" per ridurre il carico del software sui computer dei clienti.

Nel maggio 2017, CrowdStrike è stato valutato più di 1 miliardo di dollari. Nel 2019, l'offerta pubblica iniziale della società sul Nasdaq è stata di 612 milioni di dollari, con una valutazione di 6,6 miliardi di dollari.

Nel luglio 2020, un rapporto IDC ha nominato CrowdStrike il fornitore di software per la sicurezza degli endpoint in più rapida crescita.

Nel 2024, Kurtz rimarrà presidente e amministratore delegato di CrowdStrike.

Sicuramente, il mondo è solo un’enorme squadra di base.

Riferimenti:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/