ニュース

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

新しい知恵のレポート

編集者: アエネアスはとても眠いです

【新しい知恵の紹介】まさに、海外メディアが発見したところです。マイクロソフトのブルー スクリーン災害を引き起こしたクラウドストライクの CEO が、今度は Windows XP 時代に世界中のデバイスをクラッシュさせたのだということです。これは同じアップデートですが、デバイスの接続も切断され、手動での修復も必要になります。世界的なIT災害を2度引き起こしたこの男は、「歴史に名を残せる」人物だ。

Microsoft の世界的なブルー スクリーン インシデントが解決されました。

「C-00000291*.sys」構成ファイルによって引き起こされたシステム ロジック エラーは、世界中の約 10 億台のコンピューターを瞬時に破壊し、その後すべての二次および三次効果を引き起こしました。

AIの巨匠カルパシーが言ったように、技術分野に今も存在する一点瞬間故障は、人類社会に隠れた大きな危険を引き起こすことになる。

この世界的なTI災害の首謀者であるクラウドストライクのCEOに犯罪歴があることが海外メディアによって明らかになった——

2010 年、マカフィーのアップデートを利用して世界中のデバイスをクラッシュさせたのは彼でした。

論理エラーがグローバル崩壊を引き起こす

障害が発生するとすぐに、一部のネチズンは全員に警告を発しました - すべての CrowdStrike アップデートを停止してください! CrowdStrike のアップデートをすべて停止してください。

事件の原因については、オブジェクティブ・シー財団の創設者であるパトリック・ウォードル氏も直ちに詳細な調査を実施した。

まず、彼は障害の場所、mov r9d、[r8] を調べました。このうち、R8 はアンマップアドレスに属します。

この位置はポインタ配列 (RAX に保存) から取得され、インデックス RDX (0x14 * 0x8) には無効なメモリ アドレスが保持されます。

他の「ドライバー」 (「C-00000291-...32.sys」など) は難読化されたデータであり、「CSAgent.sys」によって x-ref されているようです。

したがって、おそらくこの無効な (構成/署名) データが CSAgent.sys の障害を引き起こしたと考えられます。

デバッグすると、これを簡単に判断できます。

明らかに、この事件で最も重要な未解決の疑問は、この「C-00000291-...xxx.sys」ファイルとは一体何なのかということです。

CSAgent.sys がこれらを参照すると、すぐにクラッシュします。これらを削除するとクラッシュが修正されます。

VT では、CSAgent.sys と単一のクラッシュ ダンプのデータのリバース エンジニアリングも行いました。

最後に、Wardle は、CSAgent.sys (+idb) のいくつかのバージョンと、さまざまな「C-....sys」ファイル (「修正」が含まれていると信じていた最新ファイルを含む) を共有しました。

彼は、Windows システムや仮想マシンを持っていないので、ネチズンが引き続き発掘できることを望んでいると述べました。

つい昨日、マルウェア専門家 Malware Utkonos がさらなる詳細を発見しました -

アドレス 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66 では、0xaaaaaaaa のファイル マジック チェックがあるようです。

このモードは、「チャネル ファイル」の最初の 4 バイトでもあります。ファイルがすべて NULL であると、cmp が失敗する可能性があります。

ご覧のとおり、0xaaaaaaaa と比較される rcx の値は、ExAllocatePoolWithTagPriority によって先頭に割り当てられます。 ZwReadFileで読み込んだデータを受け取るバッファがあります。

この値は、cmp を使用して関数に渡されます (Utkonos は、図内でこれらの関数を内部 wdm.h 関数呼び出しと名付けました)。

妥当性チェックにより、0xaaaaaaaa バイト パターンは、ここでチェックした「チャネル ファイル」のオフセット 0 に 1 回だけ出現することがわかります。

以下は cmp などを実行するためのアドレスです。

ご覧のとおり、0xaaaaaaaa だけが異なっているように見えます。

クラウドストライク公式説明

すぐに、クラウドストライクが公式ブログで発表した説明により、ネチズンが混乱していた疑問が明確になりました—

2024 年 7 月 19 日の 04:09 UTC に、CrowdStrike は、継続的な運用中に Windows システムに対するセンサー構成の更新をリリースしました。これは、Falcon プラットフォーム保護メカニズムの一部でもあります。 この構成更新により論理エラーが発生し、影響を受けるシステムでクラッシュとブルー スクリーン エラー (BSOD) が発生しました。 システムクラッシュの原因となったアップデートは、2024 年 7 月 19 日 05:27 UTC に修正されました。

レポートアドレス: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

技術的な詳細は次のとおりです。

Windows システムでは、チャネル ファイルはディレクトリ C:WindowsSystem32driversCrowdStrike にあり、ファイル名は「C-」で始まります。各チャンネル ファイルは一意の番号で識別されます。

このインシデントで影響を受けるチャネル ファイルは 291 で、ファイル名は「C-00000291-」で始まり、拡張子 .sys で終わります。チャネル ファイルは SYS 拡張子で終わりますが、カーネル ドライバーではありません。

チャネル ファイル 291 は、Falcon が Windows システム上で名前付きパイプの実行を評価する方法に影響します。これらの名前付きパイプは、Windows の通常のプロセス間またはシステム間通信に使用されるメカニズムです。

金曜日のアップデートは、サイバー攻撃で一般的なC2フレームワークで使用される新たに発見された悪意のある名前付きパイプをターゲットにすることを目的としていたが、実際にはシステム内で論理エラーを引き起こし、クラッシュを引き起こした。

ただし、これはチャネル ファイル 291 やその他のチャネル ファイルのヌル バイトの問題とは何の関係もありません。

この事件はスノを使ってネチズンによって歌にされました

回復するには、マシンをセーフ モードで起動し、ローカル管理者としてログインして、コンテンツを削除する必要があります。これを自動化することは不可能です。

したがって、この麻痺は非常に大きな影響を及ぼし、回復するのが困難です。

前回も彼でした

クラウドストライクは自身の誤りを認め、金曜日に謝罪と決議を発表した。

しかし、有害なアップデートがテストやその他の安全対策なしでどのようにリリースされたのかについてはまだ説明していない。

当然のことながら、多くの批判的な声がこの事件の中心人物であるクラウドストライク CEO ジョージ・カーツに集中し始めました。

テクノロジー業界アナリストのアンシェル・サグ氏は、クルツ氏が大規模なITインシデントで重要な役割を果たしたのはこれが初めてではないと指摘した。

馴染みのあるレシピ、馴染みのある味

2010 年 4 月 21 日、ウイルス対策ソフトウェア McAfee は企業顧客向けのソフトウェア アップデートをリリースしました。

更新されたソフトウェアを入手すると、Windows システムから重要なファイルが削除され、世界中の何百万台ものコンピュータがクラッシュと再起動を繰り返す原因となりました。

CrowdStrike のエラーと同様に、McAfee の問題も手動での修復が必要です (デバイスが切断され、オフラインになっています)。

そしてカーツ氏は当時マカフィーの最高技術責任者だった。

カーツ氏は 2012 年に CrowdStrike を設立し、現在に至るまで CEO を務めています。

2010年に何が起こったのでしょうか？

2010 年 4 月 21 日午前 6 時、マカフィーは企業顧客向けに「問題のある」ウイルス定義アップデートをリリースしました。

その後、これらの自動的に更新された Windows XP コンピュータは、テクニカル サポート担当者が到着して手動で修復するまで、直接「無限再起動」ループに陥ることになります。

その背後にある理由は実際には非常に単純です。新しい定義を受け取った後、ウイルス対策ソフトウェアは通常の Windows バイナリ ファイル「svchost.exe」をウイルス「W32/Wecorl.a」として識別し、破壊します。

ある大学の IT スタッフは、その結果、ネットワーク上の 1,200 台のコンピュータがダウンしたと報告しました。

米国企業からの別の電子メールには、「数百人のユーザー」が影響を受けたと書かれていた。

この問題は多数のユーザーに影響を及ぼし、svchost.exe を置き換えるだけでは問題は解決されません。セーフ モードで起動し、extra.dat ファイルをインストールしてから、vsca コンソールを手動で実行する必要があります。その後、隔離されたファイルも削除する必要があります。各ユーザーは少なくとも 2 つのファイルを隔離しており、一部のユーザーは 15 個ものファイルを隔離しています。残念ながら、この方法では、回復するファイルのうちどれが重要なシステム ファイルでどれがウイルス ファイルであるかを判断することはできません。

また、オーストラリアからは、同国最大のスーパーマーケットチェーンのレジの10％が麻痺し、14～18店舗が閉店したとの報告もある。

当時のこの事件の影響は非常に大きく、誰もが驚嘆した。「ウイルスの開発に注力しているハッカーでも、今日のマカフィーのように、これほど多くのマシンを迅速に「ダウン」させるマルウェアを作成することはおそらくできないでしょう。」

この事件についての SANS Internet Storm Center の説明は次のとおりです。

McAfee バージョン 5958 の「DAT」ファイルは、Windows XP SP3 で多数の問題を引き起こします。影響を受けるシステムは再起動ループに入り、すべてのネットワーク接続が失われます。この問題のある DAT ファイルは、個々のワークステーションだけでなく、ドメインに接続されているワークステーションにも感染する可能性があります。 「ePolicyOrchestrator」を使ってウイルス定義ファイルを更新すると、この問題のあるDATファイルの拡散が加速するようです。 ePolicyOrchestrator は通常、企業内の「DAT」ファイルを更新するために使用されますが、影響を受けるシステムがネットワーク接続を失ったため、問題のある署名を取り消すことができませんでした。

Svchost.exe は、Windows システムで最も重要なファイルの 1 つで、ほぼすべてのシステム機能のサービスをホストします。 Svchost.exe がないと Windows はまったく起動できません。

2 つの事件は 14 年も離れていますが、そのようなアップデートがどのようにしてテスト ラボから運用サーバーに流れ込んだのかという同じ困惑を共有しています。理論的には、このような問題はテストプロセスの早い段階で発見され、解決されるべきです。

彼らは誰なの？

ジョージ・カーツはニュージャージー州パーシッパニー・トロイ・ヒルズで育ち、パーシッパニー高校に通いました。

カーツ氏は、小学 4 年生のときに Commodore コンピュータでビデオ ゲームのプログラミングを始めたと語った。高校では、初期のオンライン コミュニケーション プラットフォームである掲示板システムが確立されました。

彼はシートンホール大学を卒業し、会計の学位を取得しました。

その後、Foundstone を設立し、McAfee の最高技術責任者を務めました。

現在、ジョージ・カーツ氏はドミトリ・アルペロビッチ氏と共同設立したサイバーセキュリティ会社クラウドストライクのCEOを務めている。

ビジネス上の業績に加えて、彼はレーシングドライバーとしても活躍しています。

プライス・ウォーターハウスとファウンドストーン

大学卒業後、カーツはプライス ウォーターハウスで公認会計士 (CPA) としてのキャリアをスタートしました。

1993 年、プライス ウォーターハウスはクルツを、新しく設立されたセキュリティ グループの最初の従業員の 1 人に加えました。

1999 年に、ネットワーク管理者向けのネットワーク セキュリティ書籍『Hacking Exused』を Stuart McClure および Joel Scambray と共著しました。この本は60万部以上売れ、30以上の言語に翻訳されています。

同年後半、セキュリティ コンサルティングを専門とする最初の企業の 1 つであるサイバーセキュリティ会社 Foundstone を立ち上げました。 Foundstone は脆弱性管理ソフトウェアとサービスを専門とし、多くのフォーチュン 100 企業を顧客として持つ、広く知られたインシデント対応ビジネスを展開しています。

マカフィー

McAfee は 2004 年 8 月に Foundstone を 8,600 万ドルで買収し、Kurtz は McAfee の上級副社長兼リスク管理部長に就任しました。在職中は、会社のセキュリティ リスク管理戦略の開発に貢献しました。

2009 年 10 月、マカフィーは彼をグローバル最高技術責任者兼執行副社長に任命しました。

時間が経つにつれ、カーツ氏は既存のセキュリティ テクノロジーが新たな脅威のペースに追いついていないと感じ、その遅さに不満を抱くようになりました。

CrowdStrike 作成のインスピレーションの 1 つは、飛行機で隣に座っている乗客がラップトップにマカフィー ソフトウェアが読み込まれるまで 15 分間待っているのを見たときでした。

クラウドストライク

2011 年 11 月、クルツ氏はプライベート エクイティ会社ウォーバーグ ピンカスに「駐在起業家」として入社し、次のプロジェクトであるクラウドストライクに取り組み始めました。

2012 年 2 月、彼は Foundstone の元 CFO である Gregg Marston および Dmitri Alperovitch と協力して CrowdStrike を正式に設立しました。

CrowdStrike は、マルウェア対策製品やウイルス対策製品 (サイバーセキュリティに対するマカフィーのアプローチ) から、入ってくる脅威を発見するためにハッカーが使用する手法の特定に重点を移しています。そして、顧客のコンピュータのソフトウェア負荷を軽減する「クラウドファースト」モデルを開発しました。

2017 年 5 月、CrowdStrike の評価額は 10 億ドルを超えました。 同社は2019年、ナスダック市場での新規株式公開で6億1,200万ドルを調達し、評価額は66億ドルとなった。

2020 年 7 月、IDC レポートは、CrowdStrike を最も急成長しているエンドポイント セキュリティ ソフトウェア ベンダーに挙げました。

2024 年も、クルツ氏は引き続き CrowdStrike の社長兼 CEO を務めます。

案の定、世界は巨大な草の根チームにすぎません。

参考文献:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/