Aktualisiert am 09-08-2024 2025 UTC

Channel File 291 RCA Kurzfassung

Dieses Dokument ist eine Zusammenfassung der Ergebnisse des Ursachenanalyse-Berichts (Root Cause Analysis, RCA) von CrowdStrike. Der vollständige Bericht geht auf die Informationen ein, die wir Ihnen zuvor in unserer vorläufigen Bewertung nach dem Vorfall (Post Incident Review, PIR) bereitgestellt haben, und bietet eine detailliertere Darstellung der Erkenntnisse, Schadensbegrenzungsmaßnahmen, technischen Details und der Ursachenanalyse des Vorfalls.
Dieses Dokument ist eine Übersetzung der folgenden englischen Version: https://www.crowdstrike.com/falcon-content-updateremediation-and-guidance-hub/. Diese übersetzte Version dient ausschließlich der einfacheren Bezugnahme und Zweckmäßigkeit. Im Falle von Widersprüchen oder einer Unklarheit hat die englische Version stets Vorrang.

Die Ursachenanalyse (Root Cause Analysis, RCA) als PDF herunterladen

Einführung

CrowdStrike wurde mit dem Ziel gegründet, Kunden vor modernen Angreifern zu schützen und Kompromittierungen zu verhindern. Am 19. Juli 2024 veröffentlichte CrowdStrike im Rahmen des regulären Betriebs ein Content-Konfigurationsupdate (über Channel Files) für den Windows-Sensor, das zu einem Systemabsturz führte. Wir entschuldigen uns vorbehaltlos.

Wir würdigen den enormen Einsatz unserer Kunden und Partner, die rund um die Uhr mit unseren sofort mobilisierten Teams daran gearbeitet haben, die Systeme wiederherzustellen, von denen viele innerhalb weniger Stunden wieder online waren. Am 29. Juli 2024, um 20:00 Uhr EDT, waren ca. 99 % der Windows-Sensoren online, verglichen mit dem Stand vor dem Content-Update. In der Regel schwanken die Sensorverbindungen von Woche zu Woche um ca. 1 %. An alle Kunden, die noch betroffen sind: Sie können sicher sein, dass wir nicht ruhen werden, bis alle Systeme wiederhergestellt sind.

Was passiert ist

Der CrowdStrike Falcon-Sensor nutzt KI und maschinelles Lernen, um Kundensysteme zu schützen, indem die neuesten fortschrittlichen Bedrohungen identifiziert und abgewehrt werden. Im Februar 2024 führte CrowdStrike eine neue Sensorfunktion ein, um Einblick in mögliche neuartige Angriffstechniken zu ermöglichen, die bestimmte Mechanismen von Windows missbrauchen könnten. Mit dieser Funktion wurde eine Reihe von Feldern für Rapid Response Content zur Datenerfassung vordefiniert. Wie im RCA beschrieben, wurde diese neue Sensorfunktion gemäß unseren standardmäßigen Softwareentwicklungsprozessen entwickelt und getestet.

Am 5. März 2024 wurde nach einem erfolgreichen Stresstest der erste Rapid Response Content für Channel File 291 als Teil eines Content-Konfigurationsupdates in die Produktionsumgebung freigegeben. Zwischen dem 8. und 24. April 2024 wurden drei weitere Rapid Response Updates bereitgestellt. Diese funktionierten in der Produktionsumgebung wie erwartet.

Am 19.  Juli 2024 wurde an bestimmte Windows-Hosts ein Rapid Response Content Update bereitgestellt, bei dem die neue Funktion, die erstmals im Februar 2024 veröffentlicht wurde, weiterentwickelt wurde. Der Sensor erwartete 20 Eingabefelder, während das Update 21 Eingabefelder bereitstellte. In diesem Fall führte die fehlende Übereinstimmung zu einem unzulässigen Speicherzugriff, der den Systemabsturz verursachte. Unsere Analyse und die Überprüfung durch Dritte haben bestätigt, dass dieser Fehler nicht von einem Bedrohungsakteur ausgenutzt werden kann.

Während dieses Szenario mit Channel File 291 nicht erneut auftreten kann, bietet es Anhaltspunkte für Verbesserungen an den Prozessen und Wiederherstellungsmaßnahmen, die CrowdStrike einführt, um die Resilienz weiter zu erhöhen.

Was wir getan haben und wie es weitergeht

Basierend auf den Ergebnissen der RCA sind hier einige der Maßnahmen aufgelistet, die CrowdStrike ergriffen hat und zukünftig ergreifen wird:

  • Aktualisierung des Testverfahrens für das Content-Konfigurationssystem. Diese Aufgabe ist abgeschlossen. Dazu gehören aktualisierte Tests für die Entwicklung von Template-Typen und automatisierte Tests für alle bestehenden Template-Typen. Template-Typen sind Teil des Sensors und enthalten vordefinierte Felder, die von den Threat-Detection-Ingenieuren in Rapid Response Content genutzt werden können.
  • Hinzufügen zusätzlicher Bereitstellungsebenen und Akzeptanzprüfungen für das Content-Konfigurationssystem. Diese Aufgabe wurde mit einem aktualisierten Bereitstellungsringverfahren abgeschlossen, welches sicherstellt, dass Template-Instanzen aufeinanderfolgende Bereitstellungsringe durchlaufen, bevor sie in die Produktionsumgebung eingeführt werden.
  • Zusätzliche Kontrolle unserer Kunden über die Bereitstellung von Rapid Response Content Updates. Es wurden neue Funktionen implementiert und in unserer Cloud bereitgestellt, die es Kunden ermöglichen, zu steuern, wie Rapid Response Content bereitgestellt wird. Weitere Funktionen sind zukünftig geplant.
  • Prävention vor der Erstellung problematischer Channel 291-Dateien. Um dieses Problem zu verhindern, wurde eine Validierung für die Anzahl der Eingabefelder implementiert.
  • Implementierung zusätzlicher Prüfungen im Content-Validator. Die Einführung zusätzlicher Prüfungen in die Produktionsumgebung ist für den 19. August 2024 geplant.
  • Verbesserte Grenzwertprüfung im Content Interpreter für Rapid Response Content in Channel File 291. Die Grenzwertprüfung wurde am 25. Juli 2024 hinzugefügt und ist voraussichtlich ab dem 9. August 2024 allgemein verfügbar. Diese Fixes werden mit einem Hotfix-Release der Sensor-Software auf alle Windows-Sensorversionen 7.11 und höher angewandt.
  • Einsatz von zwei unabhängigen Software-Sicherheitsanbietern zur weiteren Überprüfung des Falcon-Sensorcodes sowie der End-to-End-Qualitätskontrolle und Freigabeverfahren. Diese Arbeit hat bereits begonnen und wird im Rahmen unseres Fokus auf Sicherheit und Resilienz by Design fortgesetzt.

Weitere Einzelheiten und definierte Begriffe finden Sie in der RCA.