Новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Новый отчет мудрости

Монтажер: Эней такой сонный

[Введение в новую мудрость] Действительно, зарубежные СМИ только что обнаружили: генеральный директор CrowdStrike, который на этот раз стал причиной катастрофы синего экрана Microsoft, вызывал сбои в устройствах по всему миру в эпоху Windows XP. Это то же обновление, оно тоже отключает устройство и тоже требует ручного ремонта. Дважды вызвав глобальные ИТ-катастрофы, этот человек «запомнился в истории».

Глобальный инцидент с синим экраном Microsoft решен!

Ошибка системной логики, вызванная файлом конфигурации «C-00000291*.sys», мгновенно уничтожила около 1 миллиарда компьютеров по всему миру и впоследствии вызвала все эффекты второго и третьего порядка.

Как сказал мастер ИИ Карпати, единичные мгновенные сбои, которые до сих пор существуют в технической сфере, вызовут огромные скрытые опасности для человеческого общества.

Иностранные СМИ показали, что инициатор этой глобальной катастрофы TI, генеральный директор CrowdStrike, имеет судимость ——

В 2010 году именно он использовал обновление McAfee, чтобы привести к сбою устройств по всему миру!

Логическая ошибка спровоцировала глобальный коллапс

Как только произошел сбой, некоторые пользователи сети вынесли всем предупреждение — остановите все обновления CrowdStrike! Остановите все обновления CrowdStrike!

Что касается причины инцидента, Патрик Уордл, основатель Objective-See Foundation, также немедленно провел детальное расследование.

Сначала посмотрел место неисправности — mov r9d, [r8]. Среди них R8 принадлежит несопоставленному адресу.

Это местоположение берется из массива указателей (сохраненного в RAX), индекс RDX (0x14 * 0x8) содержит недопустимый адрес памяти.

Другие «драйверы» (такие как «C-00000291-...32.sys») представляют собой запутанные данные и имеют ссылку на «CSAgent.sys».

Следовательно, возможно, эти неверные данные (конфигурация/подпись) вызвали сбой в CSAgent.sys.

Отладка облегчает это определение.

Очевидно, что самый важный вопрос, оставшийся без ответа, в этом инциденте: что именно представляет собой этот файл «C-00000291-...xxx.sys»?

Как только CSAgent.sys ссылается на них, он немедленно выходит из строя; их удаление устраняет сбой;

В VT он также реконструировал CSAgent.sys, а также данные из одного аварийного дампа.

Наконец, Уордл поделился несколькими версиями CSAgent.sys (+idb), а также различными файлами «C-....sys» (включая последний, который, по его мнению, содержал «исправление»).

Он сказал, что, поскольку у него нет систем Windows или виртуальных машин, он надеется, что пользователи сети смогут продолжать копать.

Буквально вчера эксперт по вредоносному ПО Malware Utkonos обнаружил более подробную информацию:

По адресу 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, похоже, происходит магическая проверка файла на 0xaaaaaaaa.

Этот режим также является первыми четырьмя байтами «Файлов каналов». Файлы, все значения которых NULL, могут привести к сбою cmp.

Как видите, значение в rcx по сравнению с 0xaaaaaaaa присваивается вверху ExAllocatePoolWithTagPriority. Существует буфер, в который принимаются данные, считанные ZwReadFile.

Затем это значение передается функциям с помощью cmp (Утконос назвал эти функции на диаграмме внутренними вызовами функций wdm.h).

Путем проверки достоверности можно обнаружить, что байтовый шаблон 0xaaaaaaaa появляется только один раз со смещением 0 проверенного здесь «файла канала».

Ниже приведен адрес для выполнения чего-то вроде cmp.

Как видите, только 0xaaaaaaaa выглядит иначе.

Официальное объяснение CrowdStrike

Вскоре объяснение, опубликованное CrowdStrike в своем официальном блоге, прояснило вопросы, которые смущали пользователей сети:

В 04:09 UTC 19 июля 2024 года CrowdStrike выпустила обновление конфигурации датчиков для систем Windows во время текущих операций, которое также является частью механизма защиты платформы Falcon. Это обновление конфигурации вызвало логическую ошибку, которая привела к сбою и появлению синего экрана ошибки (BSOD) в затронутых системах. Обновление, приводившее к сбою системы, было исправлено 19 июля 2024 г. в 05:27 UTC.

Адрес отчета: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Технические подробности следующие:

В системах Windows файл канала находится в следующем каталоге: C:WindowsSystem32driversCrowdStrike, а имя файла начинается с «C-». Каждый файл канала идентифицируется уникальным номером.

В этом инциденте затронут файл канала — 291, имя файла начинается с «C-00000291-» и заканчивается расширением .sys. Хотя файлы каналов заканчиваются расширением SYS, они не являются драйверами ядра.

Файл канала 291 влияет на то, как Falcon оценивает выполнение именованного канала в системах Windows. Эти именованные каналы представляют собой механизм, используемый для обычного межпроцессного или межсистемного взаимодействия в Windows.

Пятничное обновление было предназначено для борьбы с недавно обнаруженными вредоносными именованными каналами, используемыми в средах C2, которые часто встречаются при кибератаках, но на самом деле оно вызвало логическую ошибку в системе, что привело к сбою.

Однако это не имеет ничего общего с проблемами нулевых байтов в файле канала 291 или любом другом файле канала.

Пользователи сети, использующие Suno, превратили этот инцидент в песню.

Для восстановления вам придется загрузить машину в безопасном режиме, войти в систему как локальный администратор и удалить содержимое — это невозможно автоматизировать.

Поэтому этот паралич имеет такое огромное влияние, и от него трудно оправиться.

Это был он и в прошлый раз

CrowdStrike признала свою ошибку и в пятницу принесла извинения и резолюцию.

Но они пока не объяснили, как вредоносное обновление было выпущено без тестирования и других мер безопасности.

Естественно, многие критические голоса начали сосредотачиваться на центральной фигуре инцидента: генеральном директоре CrowdStrike Джордже Курце.

Аналитик технологической отрасли Аншель Саг отметил, что это не первый случай, когда Курц играет важную роль в крупном ИТ-инциденте.

Знакомый рецепт, знакомый вкус

21 апреля 2010 г. антивирусное программное обеспечение McAfee выпустило обновление программного обеспечения для корпоративных клиентов.

Получение обновленного программного обеспечения удалило критический файл из систем Windows, что привело к сбою и перезагрузке миллионов компьютеров по всему миру.

Подобно ошибке CrowdStrike, проблема McAfee также требует ручного ремонта (устройство отключено и находится в автономном режиме).

А Курц в то время был техническим директором McAfee.

В 2012 году Курц основал CrowdStrike и по сей день занимает пост генерального директора.

Что произошло в 2010 году?

В 6 часов утра 21 апреля 2010 года McAfee выпустила «проблемное» обновление определений вирусов для корпоративных клиентов.

Затем эти автоматически обновляемые компьютеры с Windows XP попадут в цикл «бесконечной перезагрузки», пока не прибудет персонал службы технической поддержки, чтобы восстановить его вручную.

Причина этого на самом деле очень проста: получив новое определение, антивирусное программное обеспечение определит обычный двоичный файл Windows «svchost.exe» как вирус «W32/Wecorl.a» и уничтожит его.

Один из ИТ-специалистов университета сообщил, что в результате этого 1200 компьютеров в его сети вышли из строя.

В другом электронном письме от американской компании говорилось, что пострадали «сотни пользователей»:

Эта проблема затрагивает большое количество пользователей, и простая замена svchost.exe не решает проблему. Необходимо загрузиться в безопасном режиме, установить файл extra.dat, а затем вручную запустить консоль vsca. После этого вам также необходимо удалить файлы, находящиеся на карантине. У каждого пользователя на карантине находится как минимум два файла, а у некоторых пользователей — до 15. К сожалению, с помощью этого метода вы не сможете определить, какие из восстанавливаемых вами файлов являются важными системными файлами, а какие — вирусными.

Кроме того, есть сообщение из Австралии, что 10% кассовых аппаратов крупнейшей сети супермаркетов страны были парализованы, в результате чего закрылись от 14 до 18 магазинов.

Влияние этого инцидента в то время было настолько велико, что все удивлялись: «Даже хакеры, которые сосредоточены на разработке вирусов, вероятно, не могут создать вредоносное ПО, которое может быстро «вывести из строя» такое количество компьютеров, как это делает сегодня McAfee».

Ниже приводится описание инцидента Центром интернет-штурмов SANS:

Файлы McAfee версии 5958 «DAT» вызывают большое количество проблем с Windows XP SP3. Затронутые системы войдут в цикл перезагрузки и потеряют все сетевые подключения. Этот проблемный файл DAT может заразить отдельные рабочие станции, а также рабочие станции, подключенные к домену. Использование «ePolicyOrchestrator» для обновления файлов определений вирусов, похоже, ускоряет распространение этого проблемного файла DAT. ePolicyOrchestrator обычно используется для обновления файлов «DAT» на предприятиях, но ему не удалось отозвать проблемную подпись, поскольку затронутые системы потеряли сетевое подключение.

Svchost.exe — один из самых важных файлов в системе Windows. Он содержит службы практически для всех системных функций. Без Svchost.exe Windows вообще не сможет запуститься.

Хотя между этими двумя инцидентами прошло 14 лет, их объединяет одна и та же загадка: как такое обновление попало из тестовой лаборатории на рабочий сервер. Теоретически такие проблемы должны быть обнаружены и решены на ранних стадиях процесса тестирования.

Кто они?

Джордж Курц вырос в Парсиппани-Трой-Хиллз, штат Нью-Джерси, и учился в средней школе Парсиппани.

Курц рассказал, что начал программировать видеоигры на компьютере Commodore, когда учился в четвертом классе. В старшей школе была создана первая платформа онлайн-коммуникации — система досок объявлений.

Он окончил Университет Сетон Холл по специальности бухгалтерский учет.

Позже он основал Foundstone и занимал должность технического директора McAfee.

В настоящее время Джордж Курц является генеральным директором CrowdStrike, компании по кибербезопасности, соучредителем которой является Дмитрий Альперович.

Помимо деловых достижений, он также является автогонщиком.

Прайс Уотерхаус и Фаундстон

После колледжа Курц начал свою карьеру в качестве сертифицированного бухгалтера (CPA) в Price Waterhouse.

В 1993 году Price Waterhouse сделала Курца одним из первых сотрудников своей недавно сформированной группы безопасности.

В 1999 году он стал соавтором книги «Hacking Expeded», книги по сетевой безопасности для сетевых администраторов, вместе со Стюартом МакКлюром и Джоэлом Скамбреем. Книга была продана тиражом более 600 000 экземпляров и переведена более чем на 30 языков.

Позже в том же году он основал Foundstone, компанию по кибербезопасности, которая была одной из первых компаний, специализирующихся на консультировании по вопросам безопасности. Foundstone специализируется на программном обеспечении и услугах по управлению уязвимостями и разработала широко признанную компанию по реагированию на инциденты, клиентами которой являются многие компании из списка Fortune 100.

Макафи

McAfee приобрела Foundstone за 86 миллионов долларов в августе 2004 года, а Курц стал старшим вице-президентом и генеральным менеджером по управлению рисками McAfee. За время своего пребывания в должности он помог разработать стратегию управления рисками безопасности компании.

В октябре 2009 года McAfee назначила его глобальным техническим директором и исполнительным вице-президентом.

Со временем Курца разочаровала медлительность существующих технологий безопасности, поскольку он чувствовал, что они не поспевают за темпами появления новых угроз.

Одним из источников вдохновения для создания CrowdStrike он стал, когда увидел пассажира, сидевшего рядом с ним в самолете и 15 минут ожидавшего загрузки программного обеспечения McAfee на его ноутбук.

CrowdStrike

В ноябре 2011 года Курц присоединился к частной инвестиционной компании Warburg Pincus в качестве «резидентного предпринимателя» и начал работать над своим следующим проектом, CrowdStrike.

В феврале 2012 года он объединил усилия с бывшим финансовым директором Foundstone Греггом Марстоном и Дмитрием Альперовичем, чтобы официально основать CrowdStrike.

CrowdStrike смещает акцент с продуктов по защите от вредоносных программ и вирусов (подход McAfee к кибербезопасности) на выявление методов, используемых хакерами для обнаружения входящих угроз. И разработал модель «сначала облако», позволяющую снизить нагрузку на программное обеспечение на компьютерах клиентов.

В мае 2017 года CrowdStrike оценивалась более чем в 1 миллиард долларов. В 2019 году компания привлекла $612 млн в ходе первичного публичного размещения акций на Nasdaq, оценив его в $6,6 млрд.

В июле 2020 года в отчете IDC CrowdStrike был назван самым быстрорастущим поставщиком программного обеспечения для обеспечения безопасности конечных точек.

В 2024 году Курц останется президентом и генеральным директором CrowdStrike.

Конечно же, мир — это просто огромная команда простых людей.

Использованная литература:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/