Una combinación de factores provocó que el sensor Falcon EDR fallara, lo que provocó una interrupción global afectando a más de 8,5 millones de sistemas Windows En julio pasado, CrowdStrike dijo la semana pasada en un análisis de las causas fundamentales del incidente. Al mismo tiempo, el CTO de CrowdStrike, George Kurtz, y el presidente Michael Sentonas estaban en Las Vegas con una conferencia de prensa pública. mea culpa.
Huelga multitudinaria documentado en su análisis de causa raíz que había una discrepancia entre la entrada validada por un validador de contenido y la proporcionada a un intérprete de contenido, así como un problema de alcance fuera de los límites en el intérprete de contenido. Y había un problema con la forma en que la actualización ha sido probada e implementada.
“Los sensores que recibieron la nueva versión del archivo de canal 291 que contenía el contenido problemático quedaron expuestos a un problema de lectura latente fuera de límites en el intérprete de contenido. En la siguiente notificación IPC del sistema operativo, se evaluaron las nuevas instancias del modelo IPC, especificando una comparación con el valor de entrada número 21. El intérprete de contenido sólo esperaba 20 valores”, dijo CrowdStrike. “Como resultado, intentar acceder al valor 21 produjo una lectura de memoria fuera de los límites más allá del final de la matriz de datos de entrada y provocó una falla del sistema. »
Aunque CrowdStrike dice que este escenario exacto no volverá a suceder, la compañía está realizando cambios en su proceso y tomando medidas de mitigación para “garantizar una mayor resiliencia”, dijo la compañía. CrowdStrike también contrató a dos proveedores de seguridad de software para realizar una revisión en profundidad del código del sensor Falcon para seguridad y control de calidad, así como una revisión independiente del proceso de calidad de extremo a extremo, desde el desarrollo hasta la actualización. despliegue está en progreso.
“Reconoce” tus errores
En la Cumbre de Innovadores e Inversores de la Conferencia Black Hat USA en Las Vegas, la moderadora Chenxi Wang inició su panel haciéndole una pregunta al CTO de CrowdStrike, George Kurtz: “¿Qué pasó?” Kurtz se disculpó ante la sala (una acción que pareció ser bien recibida por la audiencia) y señaló que la compañía había publicado los resultados del análisis de la causa raíz.
La compañía volvió a reconocer sus fracasos unos días después, cuando el presidente de CrowdStrike, Michael Sentonas, estuvo presente en la convención de hackers DEF CON el sábado para aceptar el Premio Pwnie 2024 al mayor fracaso épico. Los Premios Pwnie reconocen los logros más notables así como los mayores fracasos en ciberseguridad durante el último año. La categoría de Mayor Fallo Épico está reservada para un “fallo espectacularmente épico, el tipo de fallo que deja tras de sí a toda la industria de la seguridad de TI”, según los Premios Pwnie. Descripción de los precios de Pwnie.
Los Premios Pwnie dijeron en julio pasado que el apagón global masivo había CrowdStrike, un ganador automático. EL El impacto del apagón a escala global El hecho de que CrowdStrike recibiera un trofeo de dos niveles en lugar de los tradicionales pequeños trofeos con forma de pony que se otorgan a los ganadores de otras categorías destacó la importancia de este trofeo. Sentonas dijo que el trofeo se exhibirá en la sede de la compañía en Austin, Texas, para recordar al personal que “estas cosas no pueden suceder”.
“Ciertamente no es un premio del que estar orgulloso”. Sentonas dijo en su discurso de aceptación.“Creo que el equipo se sorprendió cuando dije de inmediato que iría a buscarlo. En eso nos equivocamos, lo dijimos muchas veces. Es muy importante reconocer que estamos haciendo las cosas bien, es muy importante reconocer que estamos haciendo las cosas terriblemente mal, que es lo que hicimos en este caso. »