notícias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Novo Relatório de Sabedoria

Editor: Enéias com tanto sono

[Introdução à Nova Sabedoria] Com certeza, a mídia estrangeira acabou de descobrir: o CEO da CrowdStrike que causou o desastre da tela azul da Microsoft desta vez travou dispositivos em todo o mundo na era do Windows XP. É a mesma atualização, também desconecta o dispositivo e requer reparo manual. Tendo causado desastres globais de TI duas vezes, este homem pode ser “notoriamente lembrado na história”.

O incidente global da tela azul da Microsoft foi resolvido!

Um erro lógico do sistema desencadeado pelo arquivo de configuração "C-00000291*.sys" destruiu instantaneamente aproximadamente 1 bilhão de computadores em todo o mundo e, subsequentemente, desencadeou todos os efeitos de segunda e terceira ordem.

Como disse o mestre de IA Karpathy, falhas instantâneas de um único ponto que ainda existem no campo técnico causarão enormes perigos ocultos à sociedade humana.

O iniciador deste desastre global de TI, o CEO da CrowdStrike, foi revelado pela mídia estrangeira como tendo antecedentes criminais——

Em 2010, foi ele quem usou uma atualização na McAfee para travar dispositivos em todo o mundo!

Erro lógico desencadeia colapso global

Assim que a falha ocorreu, alguns internautas emitiram um aviso a todos – parem todas as atualizações do CrowdStrike! Pare todas as atualizações do CrowdStrike!

Quanto à causa do incidente, Patrick Wardle, fundador da Fundação Objective-See, também conduziu imediatamente uma investigação detalhada.

Primeiro, ele olhou para a localização da falha – mov r9d, [r8]. Entre eles, R8 pertence ao endereço não mapeado.

Este local é obtido da matriz de ponteiros (salvo em RAX), o índice RDX (0x14 * 0x8) contém um endereço de memória inválido.

Outros "drivers" (como "C-00000291-...32.sys") parecem ser dados ofuscados e referenciados por "CSAgent.sys".

Portanto, talvez esses dados inválidos (configuração/assinatura) tenham desencadeado a falha no CSAgent.sys.

A depuração torna mais fácil determinar isso.

Obviamente, a pergunta não respondida mais importante do incidente é: o que exatamente é esse arquivo “C-00000291-...xxx.sys”?

Depois que CSAgent.sys faz referência a eles, ele trava imediatamente; excluí-los corrige a falha.

No VT, ele também fez engenharia reversa do CSAgent.sys, bem como dos dados de um único despejo de memória.

Finalmente, Wardle compartilhou várias versões do CSAgent.sys (+idb), bem como vários arquivos "C-....sys" (incluindo o mais recente que ele acreditava conter a "correção").

Ele disse que, como não possui nenhum sistema Windows ou máquina virtual, espera que os internautas possam continuar a pesquisar.

Ainda ontem, o especialista em malware Malware Utkonos descobriu mais detalhes -

No endereço 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, parece haver uma verificação mágica de arquivo para 0xaaaaaaaa.

Este modo também representa os primeiros quatro bytes de "Arquivos de Canal". Arquivos todos NULL podem causar falha no cmp.

Como você pode ver, o valor em rcx comparado a 0xaaaaaaaa é atribuído na parte superior por ExAllocatePoolWithTagPriority. Existe o buffer que recebe os dados lidos pelo ZwReadFile.

Esse valor é então passado para funções usando cmp (Utkonos nomeou essas funções como chamadas de função wdm.h internas no diagrama).

Através da verificação de plausibilidade, pode-se descobrir que o padrão de bytes 0xaaaaaaaa aparece apenas uma vez no deslocamento 0 do "arquivo de canal" verificado aqui.

A seguir está o endereço para executar algo como cmp.

Como você pode ver, apenas 0xaaaaaaaa parece diferente.

Explicação oficial do CrowdStrike

Logo, a explicação divulgada pela CrowdStrike em seu blog oficial esclareceu as questões que confundiam os internautas——

Às 04h09 UTC de 19 de julho de 2024, a CrowdStrike lançou uma atualização de configuração do sensor para sistemas Windows durante as operações em andamento, que também faz parte do mecanismo de proteção da plataforma Falcon. Esta atualização de configuração acionou um erro lógico que causou uma falha e uma tela azul de erro (BSOD) nos sistemas afetados. A atualização que causou a falha do sistema foi corrigida em 19 de julho de 2024 às 05h27 UTC.

Endereço do relatório: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Os detalhes técnicos são os seguintes -

Em sistemas Windows, o arquivo do canal está localizado no seguinte diretório: C:WindowsSystem32driversCrowdStrike, e o nome do arquivo começa com "C-". Cada arquivo de canal é identificado por um número exclusivo.

O arquivo do canal afetado neste incidente é 291 e o nome do arquivo começa com “C-00000291-” e termina com a extensão .sys. Embora os arquivos de canal terminem com a extensão SYS, eles não são drivers de kernel.

O arquivo de canal 291 afeta como o Falcon avalia a execução de pipe nomeado em sistemas Windows. Esses pipes nomeados são o mecanismo usado para comunicação normal entre processos ou entre sistemas no Windows.

A atualização de sexta-feira tinha como objetivo atingir pipes nomeados maliciosos recém-descobertos usados ​​em estruturas C2 que são comuns em ataques cibernéticos, mas na verdade desencadeou um erro lógico no sistema, levando a uma falha.

No entanto, isso não tem nada a ver com problemas de bytes nulos no arquivo de canal 291 ou em qualquer outro arquivo de canal.

Este incidente foi transformado em uma música por internautas usando Suno

Para recuperar, é necessário inicializar a máquina em modo de segurança, fazer login como administrador local e excluir o conteúdo – isso é impossível de automatizar.

Portanto, esta paralisia tem um impacto tão grande e é difícil de recuperar.

Foi ele da última vez também

CrowdStrike reconheceu seu erro e emitiu um pedido de desculpas e uma resolução na sexta-feira.

Mas eles ainda não explicaram como a atualização prejudicial foi lançada sem testes e outras medidas de segurança.

Naturalmente, muitas vozes críticas começaram a se concentrar na figura central do incidente: o CEO da CrowdStrike, George Kurtz.

O analista da indústria de tecnologia Anshel Sag destacou que esta não é a primeira vez que Kurtz desempenha um papel importante em um grande incidente de TI.

Receita familiar, sabor familiar

Em 21 de abril de 2010, o software antivírus McAfee lançou uma atualização de software para clientes corporativos.

A obtenção do software atualizado excluiu um arquivo crítico dos sistemas Windows, fazendo com que milhões de computadores em todo o mundo travassem e reiniciassem repetidamente.

Semelhante ao erro do CrowdStrike, o problema da McAfee também requer reparo manual (o dispositivo está desconectado e offline).

E Kurtz era o diretor de tecnologia da McAfee na época.

Em 2012, Kurtz fundou a CrowdStrike e atua como CEO até hoje.

O que aconteceu em 2010?

Às 6h do dia 21 de abril de 2010, a McAfee lançou uma atualização de definição de vírus "problemática" para clientes corporativos.

Então, esses computadores com Windows XP atualizados automaticamente cairão diretamente em um ciclo de “reinicialização infinita” até que o pessoal de suporte técnico chegue para repará-los manualmente.

A razão por trás disso é na verdade muito simples - depois de receber a nova definição, o software antivírus identificará um arquivo binário normal do Windows "svchost.exe" como o vírus "W32/Wecorl.a" e o destruirá.

Um membro da equipe de TI de uma universidade relatou que 1.200 computadores em sua rede ficaram inativos como resultado.

Outro e-mail de uma empresa norte-americana disse que “centenas de usuários” foram afetados:

Esse problema afeta um grande número de usuários e a simples substituição do svchost.exe não resolve o problema. Você deve inicializar no modo de segurança, instalar o arquivo extra.dat e executar o console vsca manualmente. Depois disso, você também precisará excluir os arquivos em quarentena. Cada usuário tem pelo menos dois arquivos em quarentena e alguns usuários têm até 15. Infelizmente, usando esse método, você não pode determinar quais dos arquivos recuperados são arquivos importantes do sistema e quais são arquivos de vírus.

Além disso, há um relatório da Austrália de que 10% das caixas registadoras da maior cadeia de supermercados do país foram paralisadas, resultando no encerramento de 14 a 18 lojas.

O impacto desse incidente na época foi tão grande que todos ficaram maravilhados: “Mesmo os hackers que se concentram no desenvolvimento de vírus provavelmente não conseguirão produzir malware que possa ‘derrubar’ rapidamente tantas máquinas como a McAfee faz hoje”.

A seguir está a descrição do incidente do SANS Internet Storm Center:

Os arquivos "DAT" da versão 5958 da McAfee estão causando um grande número de problemas no Windows XP SP3. Os sistemas afetados entrarão em um ciclo de reinicialização e perderão toda a conectividade de rede. Este arquivo DAT problemático pode infectar estações de trabalho individuais, bem como estações de trabalho conectadas a um domínio. Usar o “ePolicyOrchestrator” para atualizar arquivos de definição de vírus parece acelerar a propagação desse arquivo DAT problemático. O ePolicyOrchestrator normalmente é usado para atualizar arquivos “DAT” em empresas, mas não foi possível revogar a assinatura problemática porque os sistemas afetados perderam a conectividade de rede.

Svchost.exe é um dos arquivos mais importantes do sistema Windows. Ele hospeda serviços para quase todas as funções do sistema. Sem Svchost.exe, o Windows não consegue iniciar.

Embora os dois incidentes tenham 14 anos de diferença, eles compartilham a mesma perplexidade – como tal atualização saiu do laboratório de testes e entrou no servidor de produção. Em teoria, tais problemas deveriam ser descobertos e resolvidos no início do processo de teste.

Quem são eles?

George Kurtz cresceu em Parsippany-Troy Hills, Nova Jersey e estudou na Parsippany High School.

Kurtz disse que começou a programar videogames em um computador Commodore quando estava na quarta série. No ensino médio, foi estabelecida uma plataforma de comunicação on-line – o sistema de quadro de avisos.

Ele se formou em contabilidade pela Seton Hall University.

Mais tarde, ele fundou a Foundstone e atuou como diretor de tecnologia da McAfee.

Atualmente, George Kurtz atua como CEO da CrowdStrike, uma empresa de segurança cibernética cofundada com Dmitri Alperovitch.

Além de suas conquistas empresariais, ele também é piloto de corridas.

Preço Waterhouse e Foundstone

Após a faculdade, Kurtz começou sua carreira como Contador Público Certificado (CPA) na Price Waterhouse.

Em 1993, Price Waterhouse fez de Kurtz um dos primeiros funcionários de seu recém-formado grupo de segurança.

Em 1999, ele foi coautor de Hacking Exposed, um livro sobre segurança de rede para administradores de rede, com Stuart McClure e Joel Scambray. O livro vendeu mais de 600.000 cópias e foi traduzido para mais de 30 idiomas.

Mais tarde naquele ano, ele lançou a Foundstone, uma empresa de segurança cibernética que foi uma das primeiras empresas a se especializar em consultoria de segurança. A Foundstone é especializada em software e serviços de gerenciamento de vulnerabilidades e desenvolveu um negócio de resposta a incidentes amplamente reconhecido que conta com muitas empresas da Fortune 100 como clientes.

McAfee

A McAfee adquiriu a Foundstone por US$ 86 milhões em agosto de 2004, e Kurtz tornou-se vice-presidente sênior e gerente geral de gerenciamento de riscos da McAfee. Durante sua gestão, ele ajudou a desenvolver a estratégia de gerenciamento de riscos de segurança da empresa.

Em outubro de 2009, a McAfee o nomeou diretor global de tecnologia e vice-presidente executivo.

Com o tempo, Kurtz ficou frustrado com a lentidão das tecnologias de segurança existentes porque sentiu que elas não estavam acompanhando o ritmo das novas ameaças.

Uma das inspirações para a criação do CrowdStrike foi quando ele viu um passageiro sentado ao lado dele em um avião esperando 15 minutos para que o software McAfee carregasse em seu laptop.

Greve de multidão

Em novembro de 2011, Kurtz ingressou na empresa de private equity Warburg Pincus como "empreendedor residente" e começou a trabalhar em seu próximo projeto, CrowdStrike.

Em fevereiro de 2012, ele uniu forças com o ex-CFO da Foundstone Gregg Marston e Dmitri Alperovitch para estabelecer formalmente a CrowdStrike.

A CrowdStrike muda o foco dos produtos antimalware e antivírus (a abordagem da McAfee à segurança cibernética) para a identificação das técnicas usadas pelos hackers para detectar ameaças recebidas. E desenvolveu um modelo “cloud-first” para reduzir a carga de software nos computadores dos clientes.

Em maio de 2017, a CrowdStrike foi avaliada em mais de US$ 1 bilhão. Em 2019, a empresa levantou US$ 612 milhões em sua oferta pública inicial na Nasdaq, avaliando-a em US$ 6,6 bilhões.

Em julho de 2020, um relatório da IDC nomeou a CrowdStrike como o fornecedor de software de segurança de endpoint com crescimento mais rápido.

Em 2024, Kurtz permanecerá como presidente e CEO da CrowdStrike.

Com certeza, o mundo é apenas uma enorme equipe de base.

Referências:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/