contato

15 de Agosto, 2024

CrowdStrike revela causa raiz de seu incidente que causou paradas em sistemas Windows

cyber security 2296269 1280

A CrowdStrike conduziu uma análise detalhada da causa raiz de um incidente técnico grave relacionado ao Channel File 291 que resultou em crashes de sistemas Windows. O problema foi desencadeado por uma atualização de conteúdo que apresentou uma incompatibilidade entre os parâmetros esperados e fornecidos, levando a uma leitura de memória fora dos limites esperados. A análise revela uma série de falhas no processo de validação e teste, resultando em crashes generalizados em sistemas que utilizavam a versão 7.11 do sensor.

O problema começou com a introdução de um novo tipo de template no sensor da versão 7.11, lançado em fevereiro de 2024. Este template foi projetado para melhorar a detecção de técnicas de ataque que utilizam mecanismos de comunicação interprocessual (IPC) do Windows. No entanto, um erro na integração do template fez com que ele esperasse 21 campos de entrada, enquanto a implementação do código fornecia apenas 20. Inicialmente, esse erro não foi detectado porque os testes usavam critérios de correspondência curinga, que não exigiam o 21º campo. No entanto, em 19 de julho de 2024, foram implantadas novas instâncias de template que passaram a exigir a verificação do 21º campo, resultando em crashes quando o sistema tentou acessar esse campo inexistente.

A análise revelou que a falha decorreu de vários fatores combinados: a falta de validação do número de campos de entrada durante a compilação do sensor, a ausência de uma verificação em tempo de execução para garantir a correspondência correta entre o número de entradas e o que o conteúdo exigia, e um erro lógico no validador de conteúdo que permitiu a distribuição do arquivo problemático. As mitigações incluíram a correção do compilador para verificar o número de campos de entrada, a adição de verificações de limites de arrays em tempo de execução, e a correção no validador de conteúdo para evitar que templates incorretos sejam validados.

A CrowdStrike também implementou revisões independentes por terceiros para verificar a qualidade e a segurança do código do sensor. Além disso, expandiu os testes de templates para cobrir uma maior variedade de critérios de correspondência e introduziu uma implantação escalonada de novos templates para detectar problemas em fases iniciais antes de uma distribuição mais ampla.

O incidente expôs vulnerabilidades significativas no processo de desenvolvimento e validação de conteúdo da CrowdStrike. A empresa agora está implementando processos mais robustos de teste e verificação, além de fornecer aos clientes maior controle sobre quando e como as atualizações de conteúdo são aplicadas. A correção do sensor foi distribuída em 9 de agosto de 2024, com melhorias adicionais planejadas para prevenir incidentes semelhantes no futuro.

Com informações CrowdStrike Blog

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Justiça aplica LGPD para responsabilizar empresa por inscrição em SCR sem notificação
13 de Junho, 2025

O Tribunal de Justiça de Minas Gerais negou provimento a recursos de apelação em ação que discutia indenização por danos morais decorrente de inscrição no Sistema de Informações de Crédito (SCR) do Banco Central sem prévia comunicação. O consumidor teve seu nome inscrito pela DM Financeira no cadastro restritivo sem a devida notificação, violando dispositivos […]

Ler Mais
ANPD abre consulta pública sobre regulamentação de dados biométricos
13 de Junho, 2025

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou uma tomada de subsídios para o tratamento de dados biométricos, visando coletar contribuições da sociedade para a regulação dessa categoria de dados sensíveis. A medida surge após o procedimento de fiscalização instaurado contra a Tools for Humanity, empresa responsável pelo projeto Worldcoin que tentava coletar dados […]

Ler Mais
Microsoft corrige 67 vulnerabilidades incluindo falha zero-day no WebDAV
11 de Junho, 2025

A Microsoft lançou correções para 67 falhas de segurança, incluindo uma vulnerabilidade zero-day no Web Distributed Authoring and Versioning (WebDAV) que está sendo explorada ativamente por criminosos cibernéticos. Das 67 vulnerabilidades corrigidas, 11 são classificadas como críticas e 56 como importantes, abrangendo 26 falhas de execução remota de código, 17 de divulgação de informações e […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram