Em 19 de julho de 2024, às 04:09 UTC, a CrowdStrike lançou uma atualização de configuração do sensor para sistemas Windows como parte das operações contínuas de proteção da plataforma Falcon. Embora as atualizações de configuração do sensor sejam uma prática comum e necessária para fortalecer os mecanismos de defesa contra novas ameaças, essa atualização em particular desencadeou um erro lógico que resultou em falhas no sistema e na temida tela azul da morte (BSOD) em sistemas impactados.
O que aconteceu?
Durante a janela de atualização, das 04:09 UTC às 05:27 UTC, os sistemas que executavam o Falcon Sensor para Windows na versão 7.11 ou superior e que estavam online nesse período baixaram a configuração atualizada. A configuração incluía o arquivo de canal 291, uma parte essencial do mecanismo de proteção comportamental do Falcon Sensor. Este arquivo foi projetado para avaliar a execução de pipes nomeados no Windows, um método comum de comunicação entre processos e sistemas.
O arquivo de canal 291 teve seu conteúdo atualizado para combater novos pipes nomeados maliciosos observados sendo usados por frameworks comuns de Comando e Controle (C2) em ciberataques. No entanto, a atualização disparou um erro lógico que causou a falha do sistema operacional, resultando na tela azul da morte.
Detalhes técnicos
Os arquivos de canal no Falcon Sensor residem no diretório:
C:\Windows\System32\drivers\CrowdStrike\
Cada arquivo de canal recebe um identificador único, e o arquivo de canal impactado neste evento é o 291, com o nome de arquivo começando com “C-00000291-” e terminando com a extensão .sys. Embora terminem com a extensão .sys, esses arquivos não são drivers de kernel.
A atualização de configuração para o arquivo de canal 291 foi projetada para direcionar pipes nomeados maliciosos recentemente observados. Pipes nomeados são uma ferramenta crucial para a comunicação entre processos no ambiente Windows, e a capacidade de monitorá-los e proteger contra seu abuso é essencial para a segurança. No entanto, a lógica introduzida na atualização resultou em um conflito que causou a falha do sistema.
Impacto e remediação
Clientes que executam o Falcon Sensor para Windows na versão 7.11 ou superior e que estavam online entre 04:09 UTC e 05:27 UTC em 19 de julho de 2024 podem ter sido impactados. Os sistemas que baixaram a configuração atualizada durante esse período estavam suscetíveis a falhas.
A CrowdStrike respondeu rapidamente ao problema, remediando o erro lógico no arquivo de canal 291 às 05:27 UTC, pouco mais de uma hora após a detecção inicial. Desde então, nenhuma outra alteração foi feita no arquivo de canal 291, e o Falcon Sensor continua a monitorar e proteger contra o abuso de pipes nomeados.
Análise da causa raiz
A CrowdStrike está comprometida em entender completamente como esse erro lógico ocorreu e está conduzindo uma análise aprofundada da causa raiz. Essa investigação está em andamento, com o objetivo de identificar quaisquer melhorias fundamentais ou de fluxo de trabalho que possam ser feitas para fortalecer o processo de atualização e evitar problemas futuros.
As atualizações de configuração do Falcon Sensor são uma parte vital da estratégia de defesa cibernética da CrowdStrike, permitindo respostas rápidas a novas táticas e técnicas empregadas por cibercriminosos. Embora o incidente de 19 de julho de 2024 tenha causado interrupções temporárias, a rápida resposta e correção demonstram o compromisso da CrowdStrike com a segurança e a estabilidade dos seus sistemas.
A M3Corp, como parceira da CrowdStrike, continua comprometida em fornecer informações detalhadas e suporte contínuo para garantir que seus clientes permaneçam protegidos e informados sobre as melhores práticas e atualizações essenciais em segurança cibernética.
Posts recentes
