网络安全公司 CrowdStrike 近日发布了 Channel File 291 事件的详细技术根因分析报告。该事件发生于 2024 年 7 月 19 日,导致全球约 850 万台 Windows 系统崩溃,影响了交通、金融、医疗、零售等多个行业。
报告指出,事件源于多个技术因素的叠加。2024 年 2 月发布的 Falcon 传感器 7.11 版本引入了新的 IPC(进程间通信)模板类型,用于检测滥用命名管道的新型攻击技术。然而,该模板类型定义了 21 个输入参数字段,而调用内容解释器的集成代码只提供了 20 个输入值。这种参数数量不匹配在多重验证和测试中未被发现,部分原因是测试和初始模板实例中使用了通配符匹配标准。
7 月 19 日,两个新的 IPC 模板实例被部署,其中一个引入了第 21 个输入参数的非通配符匹配标准。内容验证器评估这些新模板实例时,错误地假设 IPC 模板类型会提供 21 个输入。当传感器接收到包含问题内容的新版 Channel File 291 时,暴露了内容解释器中潜在的越界读取问题。在下一次 IPC 通知中,新模板实例被评估,试图比较第 21 个输入值。由于内容解释器只预期 20 个值,这导致了越界内存读取,最终引发系统崩溃。
为防止类似事件再次发生,CrowdStrike 采取了包括在传感器编译时验证模板类型输入字段数量、为内容解释器添加运行时边界检查、扩大测试覆盖范围、改进内容验证器逻辑等。公司还更新了内容配置系统,引入分阶段部署机制等的多项措施,并增强了客户对快速响应内容更新的控制权。
此外,CrowdStrike 聘请了两家独立的第三方软件安全供应商,对 Falcon 传感器代码进行安全性和质量保证审查,并对整个开发到部署的质量流程进行独立评估。
CrowdStrike 成立于 2011 年,总部位于美国德克萨斯州奥斯汀,是全球领先的网络安全技术公司之一。其核心产品 Falcon 平台是一个基于云的端点保护解决方案,提供下一代防病毒、端点检测和响应、设备控制等功能。Falcon 平台通过单一轻量级代理部署,可在线或离线工作,分析尝试在端点上运行的文件。除此之外,CrowdStrike 还提供威胁情报、托管威胁搜寻、身份保护、云安全等服务,以及全天候的托管检测和响应服务。
(CrowdStrike)