Официальное заявление CrowdStrike о обновлении контента Falcon для хостов Windows

Обращение генерального директора CrowdStrike:

Уважаемые клиенты и партнеры,

Хочу искренне извиниться перед всеми вами за сегодняшний сбой. Все в CrowdStrike осознают важность и влияние этой ситуации. Мы быстро выявили проблему и внедрили исправление, что позволило нам сосредоточиться на восстановлении систем клиентов как нашего высшего приоритета.

Сбой произошел из-за дефекта, обнаруженного в обновлении контента Falcon для хостов Windows. Хосты Mac и Linux не пострадали. Это не была кибератака.

Мы тесно сотрудничаем с пострадавшими клиентами и партнерами, чтобы обеспечить восстановление всех систем, чтобы вы могли предоставлять услуги, на которые полагаются ваши клиенты.

CrowdStrike работает в обычном режиме, и эта проблема не влияет на системы нашей платформы Falcon. Если датчик Falcon установлен, защита не пострадала. Сервисы Falcon Complete и Falcon OverWatch не нарушены.

Мы будем предоставлять постоянные обновления через наш Портал Поддержки и через блог CrowdStrike. Пожалуйста, продолжайте посещать эти сайты для получения последних новостей.

Мы мобилизовали всю команду CrowdStrike, чтобы помочь вам и вашим командам. Если у вас есть вопросы или вам нужна дополнительная поддержка, пожалуйста, обратитесь к вашему представителю CrowdStrike или технической поддержке.

Мы знаем, что злоумышленники и преступные организации попытаются воспользоваться этими событиями. Я призываю всех оставаться бдительными и убедиться, что вы общаетесь с официальными представителями CrowdStrike. Наш блог и техническая поддержка будут продолжать оставаться официальными каналами для последних обновлений.

Ніщо не є більш важливим для мене, ніж довіра та впевненість, яку наші клієнти та партнери вклали в CrowdStrike. У міру вирішення цього інциденту, я беру на себе зобов’язання забезпечити повну прозорість того, як це сталося, і кроки, які ми вживаємо, щоб запобігти повторенню чогось подібного.

Джордж Курц

Основатель и генеральный директор CrowdStrike

Что случилось?

19 июля 2024 года в 04:09 по UTC, в рамках выполнения плановых работ, CrowdStrike выпустил обновление конфигурации датчиков для систем Windows. Обновление конфигурации датчиков является постоянной частью механизмов защиты платформы Falcon. Это обновление конфигурации вызвало логическую ошибку, которая привела к аварийному завершению работы системы и появлению «синего экрана» (BSOD) на пораженных системах.

Обновление конфигурации датчика, которое вызвало сбой системы, было исправлено в пятницу, 19 июля 2024 года в 05:27 по UTC.

Эта проблема не является следствием кибератаки и не связана с ней.Влияние

Клиенты, использующие датчик Falcon для Windows версии 7.11 и выше, которые были в сети между пятницей, 04:09 UTC и пятницей 05:27 UTC 19 июля 2024 года, могли испытать воздействие.

Системы, использующие датчик Falcon для Windows версии 7.11 и выше, которые загрузили обновленную конфигурацию с 04:09 UTC до 05:27 UTC, – были подвержены сбою системы.Основы файла конфигурации

Упомянутые выше файлы конфигурации называются «Channel Files» и являются частью защитных механизмов, которые использует датчик Falcon. Обновления Channel Files являются обычной частью работы датчика и происходят несколько раз в день в ответ на новые тактики, техники и процедуры, выявленные CrowdStrike. Это не новый процесс; архитектура существует с момента создания Falcon.Технические детали

На системах Windows Channel Files находятся в следующей директории:

C:\Windows\System32\drivers\CrowdStrike\

и имеют имя файла, которое начинается с «C-«. Каждому файлу канала присваивается номер как уникальный идентификатор. Пострадавший файл канала в этом событии имеет номер 291 и будет иметь имя файла, которое начинается с «C-00000291-» и заканчивается расширением .sys. Хотя Channel Files заканчиваются на SYS, они не являются драйверами ядра.

Файл канала 291 управляет тем, как Falcon оценивает выполнение именованных каналов в системах Windows. Именованные каналы используются для обычной, межпроцессной или межсистемной связи в Windows.

Обновление, которое произошло в 04:09 UTC, было направлено на недавно обнаруженные злонамеренные именованные каналы, используемые распространенными фреймворками C2 в кибератаках. Обновление конфигурации вызвало логическую ошибку, которая привела к аварийному завершению работы операционной системы.Channel File 291

CrowdStrike исправил логическую ошибку, обновив содержимое в Channel File 291. Никаких дополнительных изменений в Channel File 291, кроме обновленной логики, внедряться не будет. Falcon все еще оценивает и защищает от злоупотреблений именованными каналами.

Это не связано с нулевыми байтами, содержащимися в Channel File 291 или любом другом Channel File.Исправление

Наиболее актуальные рекомендации по исправлению и информацию можно найти в блоге CrowdStrike или на Портале поддержки.

Мы понимаем, что некоторые клиенты могут иметь специфические потребности в поддержке, и просим их обращаться к нам напрямую.

Системы, которые сейчас не пострадали, продолжат работать как ожидается, продолжат предоставлять защиту и не имеют риска испытать это событие в будущем.

Системы, работающие на Linux или macOS, не используют Channel File 291 и не пострадали.Анализ причин

Мы понимаем, как возникла эта проблема, и проводим тщательный анализ причин, чтобы определить, как произошла эта логическая ошибка. Эти усилия будут продолжаться. Мы обязаны определить любые фундаментальные или процессуальные улучшения, которые мы можем внести, чтобы укрепить наш процесс. Мы обновим наши выводы в анализе причин, по мере продвижения расследования.