Sommario
CrowdStrike, una delle principali aziende di cybersecurity, ha recentemente pubblicato un’analisi dettagliata, post mortem, delle cause alla base dell’incidente “Channel File 291” che ha causato il crash di milioni di dispositivi Windows a livello globale. Questo evento, evidenziato inizialmente nella Preliminary Post Incident Review, è stato tracciato fino a un problema di validazione del contenuto introdotto con un nuovo tipo di modello per la rilevazione di tecniche di attacco che sfruttano i meccanismi di comunicazione interprocesso (IPC) di Windows.
Problema di validazione del contenuto
L’incidente è stato causato da un aggiornamento problematico del contenuto distribuito tramite cloud. Il problema principale è stato un disallineamento tra i 21 input passati al Content Validator e i 20 forniti al Content Interpreter. Questo disallineamento non è stato scoperto durante i numerosi livelli di test, anche a causa dell’uso di criteri di corrispondenza jolly per il 21° input durante i test iniziali.
La nuova versione del Channel File 291, distribuita il 19 luglio 2024, è stata la prima a utilizzare il 21° campo del parametro di input. La mancanza di un caso di test specifico per il 21° campo ha fatto sì che questo problema non venisse rilevato fino a dopo la distribuzione del Rapid Response Content ai sensori.
Conseguenze e risoluzioni
I sensori che hanno ricevuto la nuova versione del Channel File 291, secondo quanto riportato dal Post Mortem, sono stati esposti a un problema di lettura fuori dai limiti nella Content Interpreter, che ha provocato un crash del sistema e per risolvere questo problema, CrowdStrike ha aggiunto controlli dei limiti degli array di input in fase di runtime per prevenire letture fuori dai limiti della memoria e ha corretto il numero di input forniti dal tipo di modello IPC.
Inoltre, CrowdStrike ha pianificato di aumentare la copertura dei test durante lo sviluppo dei modelli per includere casi di test per criteri di corrispondenza non jolly per ogni campo in tutti i modelli futuri. Sono state anche apportate modifiche al Content Validator per aggiungere nuovi controlli e garantire che i contenuti nei modelli non includano criteri di corrispondenza che superano il numero di campi forniti come input al Content Interpreter.
Controlli indipendenti e collaborazione con Microsoft
CrowdStrike ha ingaggiato due fornitori indipendenti di sicurezza software per eseguire ulteriori revisioni del codice del sensore Falcon per sicurezza e assicurazione della qualità. Inoltre, sta eseguendo una revisione indipendente del processo di qualità end-to-end, dallo sviluppo al deployment.
CrowdStrike ha inoltre dichiarato l’intenzione di collaborare con Microsoft per introdurre nuovi metodi di esecuzione delle funzioni di sicurezza nello spazio utente, anziché fare affidamento su un driver del kernel. Questa collaborazione mira a migliorare ulteriormente la sicurezza e la protezione contro le minacce emergenti.
Impatto dell’incidente
Delta Air Lines ha dichiarato di non avere altra scelta se non quella di cercare risarcimenti da CrowdStrike e Microsoft per le interruzioni causate, stimando perdite di circa 500 milioni di dollari in entrate perse e costi aggiuntivi legati a migliaia di voli cancellati. Entrambe le aziende hanno risposto alle critiche, affermando di non essere responsabili per l’interruzione prolungata e che Delta ha rifiutato le offerte di assistenza in loco.
