Technische Details zum Ausfall am 19. Juli 2024
20, Juli 2024
|CrowdStrike |Standpunkt der Geschäftsleitung
Was ist passiert?
Am 19. Juli 2024 um 04:09 UTC veröffentlichte CrowdStrike im Rahmen des laufenden Betriebs ein Sensorkonfigurationsupdate für Windows-Systeme. Sensorkonfigurationsupdates sind ein fortlaufender Teil der Schutzmechanismen der Falcon-Plattform. Dieses Konfigurationsupdate löste einen Logikfehler aus, der zu einem Systemabsturz und einem Bluescreen (BSOD) auf betroffenen Systemen führte.
Das Sensorkonfigurationsupdate, das den Systemabsturz verursachte, wurde am Freitag, 19. Juli 2024, 05:27 UTC behoben.
Dieses Problem ist weder die Folge eines Cyberangriffs noch steht es damit im Zusammenhang.
Auswirkungen
Kunden, die den Falcon-Sensor für Windows Version 7.11 und höher verwenden und zwischen Freitag, 19. Juli 2024, 04:09 UTC und Freitag, 19. Juli 2024, 05:27 UTC online waren, könnten betroffen sein.
Bei Systemen mit Falcon-Sensor für Windows 7.11 und höher, die die aktualisierte Konfiguration zwischen 04:09 UTC und 05:27 UTC heruntergeladen haben, konnte es zu einem Systemabsturz kommen.
Einführung Konfigurationsdateien
Die oben genannten Konfigurationsdateien werden als „Channel Files“ bezeichnet und sind Teil der verhaltensbasierten Schutzmechanismen, die vom Falcon-Sensor verwendet werden. Updates der Channel Files sind ein normaler Teil des Sensorbetriebs und erfolgen mehrmals täglich als Reaktion auf neue Taktiken, Techniken und Verfahren, die von CrowdStrike entdeckt wurden. Dies ist kein neuer Prozess; die Architektur besteht seit der Einführung von Falcon.
Technische Details
Auf Windows-Systemen befinden sich die Channel Files im folgenden Verzeichnis:
C:\Windows\System32\drivers\CrowdStrike\
und haben einen Dateinamen, der mit „C-
“ beginnt. Jedem Channel File wird eine Nummer als eindeutige Kennung zugewiesen. Das betroffene Channel File in diesem Fall ist 291 und hat einen Dateinamen, der mit „C-00000291-
“ beginnt und mit der Erweiterung .sys
endet. Obwohl Channel Files mit der Erweiterung SYS enden, sind sie keine Kerneltreiber.
Channel File 291 steuert, wie Falcon die Ausführung von Named Pipe1 auf Windows-Systemen auswertet. Named Pipes werden für die normale, prozessübergreifende oder systemübergreifende Kommunikation in Windows verwendet.
Das Update, das um 04:09 UTC erfolgte, zielte auf neu entdeckte, bösartige Named Pipes ab, die von gängigen C2-Frameworks bei Cyberangriffen verwendet werden. Das Konfigurationsupdate löste einen Logikfehler aus, der zu einem Absturz des Betriebssystems führte.
Channel File 291
CrowdStrike hat den Logikfehler behoben, indem der Inhalt in Channel File 291 aktualisiert wurde. Über die aktualisierte Logik hinaus werden keine weiteren Änderungen an Channel File 291 vorgenommen. Falcon prüft und schützt weiterhin vor dem Missbrauch benannter Pipes.
Dies hat nichts mit den in Channel File 291 oder einem anderen Channel File enthaltenen Nullbytes zu tun.
Behebung
Die aktuellsten Empfehlungen und Informationen zur Behebung dieser Probleme finden Sie in unserem Blog oder im Support-Portal.
Manche Kunden haben möglicherweise spezielle Supportanforderungen. Wir bitten sie, sich direkt an uns zu wenden.
Systeme, die derzeit nicht betroffen sind, funktionieren weiterhin wie erwartet, bieten weiterhin Schutz und es besteht kein Risiko, dass dieses Ereignis in Zukunft erneut eintritt.
Systeme unter Linux oder macOS verwenden Channel File 291 nicht und waren nicht betroffen.
Ursachenanalyse
Wir wissen, wie dieses Problem aufgetreten ist, und führen eine gründliche Ursachenanalyse durch, um herauszufinden, wie dieser Logikfehler entstanden ist. Diese Bemühungen werden fortgesetzt. Wir sind bestrebt, alle grundlegenden oder Workflow-Verbesserungen zu ermitteln, mit denen wir unseren Prozess verbessern können. Wir werden unsere Ergebnisse in der Ursachenanalyse im Verlauf der Untersuchung aktualisieren.
1 https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes