07 de agosto de 2024Ravie LakshmananCiberseguridad / Respuesta a incidentes La empresa de ciberseguridad CrowdStrike ha publicado su análisis de causa raíz en el que se detalla el fallo de actualización del software Falcon Sensor que paralizó millones de dispositivos Windows en todo el mundo. El incidente del «archivo de canal 291», como se destacó originalmente en su Revisión preliminar posterior al incidente (PIR), se ha remontado a un problema de validación de contenido que surgió después de que se introdujera un nuevo tipo de plantilla para permitir la visibilidad y la detección de nuevas técnicas de ataque que abusan de las canalizaciones con nombre y otros mecanismos de comunicación entre procesos (IPC) de Windows. En concreto, está relacionado con una actualización de contenido problemática implementada en la nube, y la empresa la describe como una «confluencia» de varias deficiencias que provocaron un fallo; la más destacada de ellas es un desajuste entre las 21 entradas pasadas al validador de contenido a través del tipo de plantilla de IPC en comparación con las 20 suministradas al intérprete de contenido. CrowdStrike dijo que la falta de coincidencia de parámetros no se descubrió durante «múltiples capas» del proceso de prueba, en parte debido al uso de criterios de coincidencia de comodines para la entrada número 21 durante las pruebas y en las instancias de plantilla de IPC iniciales que se entregaron entre marzo y abril de 2024. En otras palabras, la nueva versión del archivo de canal 291 enviada el 19 de julio de 2024 fue la primera instancia de plantilla de IPC que utilizó el campo de parámetro de entrada número 21. La falta de un caso de prueba específico para criterios de coincidencia sin comodines en el campo número 21 significó que esto no se marcó hasta después de que el contenido de respuesta rápida se envió a los sensores. «Los sensores que recibieron la nueva versión del archivo de canal 291 que contenía el contenido problemático estuvieron expuestos a un problema de lectura fuera de límites latente en el intérprete de contenido», dijo la empresa. «En la siguiente notificación de IPC del sistema operativo, se evaluaron las nuevas instancias de plantilla de IPC, especificando una comparación con el valor de entrada número 21. El intérprete de contenido esperaba solo 20 valores. Por lo tanto, el intento de acceder al valor número 21 produjo una lectura de memoria fuera de los límites más allá del final de la matriz de datos de entrada y resultó en un bloqueo del sistema». Además de validar la cantidad de campos de entrada en el tipo de plantilla en el momento de compilación del sensor para solucionar el problema, CrowdStrike dijo que también agregó verificaciones de límites de la matriz de entrada en tiempo de ejecución al intérprete de contenido para evitar lecturas de memoria fuera de los límites y corrigió la cantidad de entradas proporcionadas por el tipo de plantilla de IPC. «La verificación de límites agregada evita que el intérprete de contenido realice un acceso fuera de los límites de la matriz de entrada y bloquee el sistema», señaló. «La verificación adicional agrega una capa adicional de validación en tiempo de ejecución de que el tamaño de la matriz de entrada coincide con la cantidad de entradas esperadas por el contenido de respuesta rápida». Además de eso, CrowdStrike dijo que planea aumentar la cobertura de pruebas durante el desarrollo del tipo de plantilla para incluir casos de prueba para criterios de coincidencia sin comodines para cada campo en todos los tipos de plantilla (futuros). También se espera que algunas de las actualizaciones de los sensores resuelvan las siguientes brechas: El Validador de contenido se está modificando para agregar nuevas verificaciones para garantizar que el contenido en las Instancias de plantilla no incluya criterios coincidentes que coincidan con más campos de los que se proporcionan como entrada al Intérprete de contenido El Validador de contenido se está modificando para permitir solo criterios de coincidencia de comodín en el campo 21, lo que evita el acceso fuera de los límites en los sensores que solo proporcionan 20 entradas El Sistema de configuración de contenido se ha actualizado con nuevos procedimientos de prueba para garantizar que se pruebe cada nueva Instancia de plantilla, independientemente del hecho de que la Instancia de plantilla inicial se pruebe con el Tipo de plantilla en la creación El Sistema de configuración de contenido se ha actualizado con capas de implementación adicionales y verificaciones de aceptación La plataforma Falcon se ha actualizado para brindar a los clientes un mayor control sobre la entrega de Contenido de respuesta rápida Por último, pero no menos importante, CrowdStrike dijo que ha contratado a dos proveedores de seguridad de software de terceros independientes para realizar una revisión adicional del código del sensor Falcon tanto para la seguridad como para el control de calidad. También está llevando a cabo una revisión independiente del proceso de calidad de extremo a extremo desde el desarrollo hasta la implementación. Además, se ha comprometido a trabajar con Microsoft a medida que Windows introduce nuevas formas de realizar funciones de seguridad en el espacio de usuario en lugar de depender de un controlador de núcleo. «El controlador de núcleo de CrowdStrike se carga desde una fase temprana del arranque del sistema para permitir que el sensor observe y se defienda contra el malware que se lanza antes de que se inicien los procesos del modo de usuario», dijo. «Proporcionar contenido de seguridad actualizado (por ejemplo, Rapid Response Content de CrowdStrike) a estas capacidades de núcleo permite que el sensor defienda los sistemas contra un panorama de amenazas en rápida evolución sin realizar cambios en el código del núcleo. Rapid Response Content son datos de configuración; no es código ni un controlador de núcleo». La publicación del análisis de la causa raíz se produce cuando Delta Air Lines dijo que «no tiene otra opción» que reclamar daños y perjuicios a CrowdStrike y Microsoft por causar interrupciones masivas y costarle aproximadamente 500 millones de dólares en ingresos perdidos y costos adicionales relacionados con miles de vuelos cancelados. Tanto CrowdStrike como Microsoft respondieron a las críticas, afirmando que no tienen la culpa de la interrupción que duró varios días y que Delta rechazó sus ofertas de asistencia in situ, lo que indica que los problemas de la aerolínea podrían ser mucho más graves que el hecho de que sus máquinas Windows se cayeran como resultado de la actualización de seguridad defectuosa. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.