Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#crowdstrike

Osobistość

w Hydepark

57piorunów

Krótkie podsumowanie akcji z z zeszłego tygodnia na podstawie wiarygodnych informacji znalezionych w internetach

1) Crowdstrike to firma amerykańska firma zajmująca się cyberbezpieczeństwem. Celują w rynek enterprise. Dostarczają własne sterowniki, które są wykonywane w Windows kernel mode.
2) Poza sterownikiem, częścią ich delivery są różne definicje wirusów, malware i cholera wie czego.
3) Problem spowodowała właśnie aktualizacja tych definicji, nie samego drivera. Otóż okazało się, że driver jest dość głupi i po prostu skanuje wybraną lokalizację w poszukiwaniu definicji. Jeśli znajdzie odpowiednie pliki, to próbuje je załadować. Nie jest jasne, jakie checki wykonuje przed załadowaniem, ale nie spodziewam się tutaj szału.
4) Plik z nowo dodaną definicją okazał się pusty, zawierał same zera. Nie zatrzymało to jednak drivera, który na jego podstawie najprawdopodobniej próbował wyliczyć jakiś adres. Oczywiście, nie miał szans zrobić tego poprawnie, dlatego ten adres był bezpośrednio z pupy - wartość, którą widziałem w jednym tłicie to 0xc9. A po wyliczeniu tego adresu, driver próbował się dobrać do pamięci pod nim. Nie mogło to się skończyć dobrze.
Side note - skoro adres nie był NULLem, czy innym None, Rustowe unwrap chyba raczej tutaj by nie pomogło (ale się nie znam, więc mogę się mylić).
5) Około 8500000 maszyn na całym świecie zostało dotkniętych tym problemem. Naprawa nie jest skomplikowana, ale wymaga fizycznego dostępu do każdej maszyny ( ͡º͜ʖ͡º)

Moje komentarze
- Wczytywanie plików na YOLO, bez odpowiedniej weryfikacji w kernel mode to nie tylko potężna luka bezpieczeństwa, ale objaw nieskończonej głupoty. Sam driver podobno był certyfikowany przez Microsoft, ale nie wiem na czym dokładnie taka certyfikacja polega i czy sprawdzali kod.
- Crowdstrike najprawdopodobniej zdecydował się zaimplementować mechanizm wczytywania różnych definicji z zewnętrznych plików, żeby ominąć konieczność certyfikacji drivera po każdym update. Taka przyjemność pewnie zajmuje trochę czasu i do najtańszych nie należy.
- Windows teoretycznie posiada mechanizm wywalania spartaczonych driverów. No ale posiada też coś takiego jak "boot install drivers" - drivery, które koniecznie muszą być załadowane, żeby system wstał. Oczywiście, Crowdstrike w swej mądrości oznaczył swój driver jako "boot install" xDDD
- Jedynym sensownym mechanizmem obrony przed takimi akcjami jest podział na dwie partycję - instalujemy update na partycji A i próbujemy się z niej zbootwać. Jeśli to się nie uda, bootujemy się z partycji B, która nie zawiera update.
- Podobno Microsoft zamiast dawać możliwość uruchamiania kodu 3rdparties w kernel mode, chciał udostępnić API związane z cyberbezpieczeństwem. Ale UE się wtrąciła, twierdząć że byłaby to praktyka monopolistyczna. Także xD

Moje pytania
- Dlaczego Crowdstrike wypuścił pusty plik?
- Dlaczego nie dodali żadnych sanity checków podczas ładowania plików, a potem Microsoft to przyklepał?
- Czy ten driver został poprawiony? Czy wrzucenie pustego pliku w odpowiednie miejsce na dysku nadal wywali cały system?

Wirtuoz0piorunów

@groman43 ja się pytam jak to przeszło testy??

Gruba ryba6piorunów

@groman43 ehh biedny stażysta, chłop pewnie ze stresu spać nie może od tygodnia xD

Pokaż więcej komentarzy (16)

GURU

w Komputery

21piorunów

O co dokładnie chodzi w Blue Screenach z ostatniej awarii i jak one w ogóle działają w Windowsie? O Kernel modzie, o tym, jak CrowdStrike wykorzystuje do niego dostęp itp. Lubię filmiki **Dave'a** , a może ktoś go nie zna jeszcze.

Nie wiem czy ktoś to już wrzucał, najwyżej Owcen skasuje dubla.

Gruba ryba2piorunów

Ja słuchałem robiąc coś innego i szczerze mówiąc niewiele zrozumiałem. Ciekawostka, że obecny CEO Crowdstrike, George Kurtz, był też CEO McAfee 15 lat temu, kiedy też im wszystko pierdyknęło.

Pokaż więcej komentarzy (4)

Wirtuoz

w Hydepark

19piorunów

Co za shitshow był dziś w firmie z powodu xD

Wszystkie serwery bazujące na windzie padły (łącznie z serwerami od DHCP, DNS, BitLocker, drukarek itp) jak i komputery z W10/W11

Kazdy juz wysyła skrin z reddita albo innego źródła aby usunąć pliki przez tryb awaryjny, ale niee, pan crowdstrike mówi żebyśmy sie wstrzymali, ale i tak dochodzi do punktu w ktorym mówią - tak, na kazdym urzadzeniu gdzie jest BSOD muszą zostać usuniete pliki - OK działamy aaaaale klucze do BitLockera są na serwerze który też jest offline xD

Dzięki pan crowdstrike, miał być spokojny weekend a już chujowo się zaczęło, ciekawie co bedzie w poniedziałek.

Gruba ryba4piorunów

Kto k⁎⁎wa upadetuje serwery 5 minut po „poprawce” ¯\\_(ツ)_/¯

Gruba ryba0piorunów

@meciasek Ale o co chodzi z kluczami BL? To się trzyma gdzieś zdalnie zamiast w TPM?

Pokaż więcej komentarzy (10)

Gruba ryba

w Windows

2piorunów

Gdzie w windows 10 ustawię "delay" updatów? Nie chodzi o jednorazowe wstrzymanie updat'ów, a o instalację wszystkiego z opóźnienie względem daty publikacji.
Taki trochę dupochron na wypadek wtopy m$ pokroju ( ͡° ͜ʖ ͡°)

Fanatyk0piorunów

Takie coś tylko w ltsc z tego co wiem

Pokaż więcej komentarzy (4)

Fanatyk

w Hydepark

38piorunów

Zgadnijcie kto na dziś miał zaplanowane podpisanie umowy o współpracę (i podpisał!) z bardzo ambitnym dystrybutorem ?

no jak to kto? Ja.

Będzie z tego dużo pracy z tego co widzę :dollar:

Mocarz4piorunów

@GordonLameman Kwestia marketingu.

Dla managementów: „CrowdStike wreszcie zarządził globalną inwentaryzację. Twój admin podszedł do każdego systemu osobiście, stare i niepotrzebne wreszcie zostały wyłączone”.

Dla IT: „ktoś w CrowdStike prawdopodobnie zatrzymał kolejną falę zwolnień w IT. Teraz widać, ile w biznesie zależy od systemów IT. Widać też, że trzeba jednak czasem podejść do komputera i admin z dalekiego kraju się nie nada. A admin z dużej firmy zewnętrznej może nie mieć czasu albo podnieść cenę”

Pokaż więcej komentarzy (19)

Sum

w Hydepark

2piorunów

jak ja sie ciesze ze sprzedalem akcje Microsoftu 2 dni temu

GURU1piorunów

@ql00 Przeca to crowdstrike wina, a nie ich :stuck_out_tongue_winking_eye:

GURU0piorunów

@Konto_serwisowe tak tak, widziałem na grupach - oficjalnie rok linuksa się zacznie ( ͡° ͜ʖ ͡°)

Gruba ryba1piorunów

@Thereforee Raz miałem z tym do czynienia na rhel i samo się wyłączało. Wspaniały to był software 😐

Pokaż więcej komentarzy (7)

Fenomen

w Technologia

31piorunów

Crowdstrike elegancko zabezpieczył wszystkie systemy operacyjne windows na świecie, teraz na pewno nikt się do nich nie włamie

Fenomen0piorunów

Wszystkie na świecie? Ciekawa teoria :smiley: No, ale przynajmniej są bezpieczne 😉

Pokaż więcej komentarzy (4)