أخبار تقنية

ضربة موجعة لنظام Windows: خلل في CrowdStrike يسبب فوضى عالمية

في يوم الجمعة الموافق 19 يوليو 2024 الساعة 04:09 بالتوقيت العالمي المنسق، وكجزء من العمليات المنتظمة، أصدرت CrowdStrike تحديثًا لتكوين المحتوى لمستشعر Windows لجمع القياس عن بعد حول تقنيات التهديد الجديدة المحتملة،" الشركة قال في المراجعة الأولية لما بعد الحادث (PIR).

متابعه مكسي نيوز 

ضربة موجعة لنظام….ألقت شركه الأمن السيبراني CrowdStrike يوم الأربعاء باللوم على مشكلة في نظام التحقق الخاص بها في التسبب في تعطل الملايين من أجهزة Windows كجزء من انقطاع واسع النطاق في أواخر الأسبوع الماضي.

“في يوم الجمعة الموافق 19 يوليو 2024 الساعة 04:09 بالتوقيت العالمي المنسق، وكجزء من العمليات المنتظمة، أصدرت CrowdStrike تحديثًا لتكوين المحتوى لمستشعر Windows لجمع القياس عن بعد حول تقنيات التهديد الجديدة المحتملة،” الشركة قال في المراجعة الأولية لما بعد الحادث (PIR).

“تعد هذه التحديثات جزءًا منتظمًا من آليات الحماية الديناميكية لمنصة Falcon. أدى تحديث تكوين محتوى الاستجابة السريعة الإشكالي إلى تعطل نظام Windows.”

أثر الحادث على مضيفي Windows الذين يستخدمون إصدار المستشعر 7.11 وما فوق والذي كان متصلاً بالإنترنت بين 19 يوليو 2024، الساعة 04:09 بالتوقيت العالمي و05:27 بالتوقيت العالمي وتلقى التحديث. ولم تتأثر أنظمة Apple macOS وLinux.

قالت CrowdStrike إنها تقدم تحديثات تكوين محتوى الأمان بطريقتين، واحدة عبر محتوى المستشعر الذي يتم شحنه مع Falcon Sensor والأخرى من خلال محتوى الاستجابة السريعة الذي يسمح لها بالإبلاغ عن التهديدات الجديدة باستخدام تقنيات مختلفة لمطابقة الأنماط السلوكية.

يُقال إن العطل كان نتيجة لتحديث محتوى الاستجابة السريعة الذي يحتوي على خطأ لم يتم اكتشافه مسبقًا. تجدر الإشارة إلى أن مثل هذه التحديثات يتم تسليمها في شكل مثيلات قالب تتوافق مع سلوكيات محددة – يتم تعيين كل منها إلى نوع قالب فريد – لتمكين القياس عن بعد والاكتشاف الجديد.

يتم إنشاء مثيلات القالب، بدورها، باستخدام نظام تكوين المحتوى، وبعد ذلك يتم نشرها على المستشعر عبر السحابة من خلال آلية يطلق عليها اسم ملفات القناة، والتي تتم كتابتها في النهاية على القرص على جهاز يعمل بنظام Windows. يشتمل النظام أيضًا على مكون التحقق من المحتوى الذي يقوم بإجراء فحوصات التحقق من صحة المحتوى قبل نشره.

وأوضح أن “محتوى الاستجابة السريعة يوفر الرؤية والاكتشافات على المستشعر دون الحاجة إلى تغيير رمز المستشعر”.

“يتم استخدام هذه الإمكانية من قبل مهندسي الكشف عن التهديدات لجمع بيانات القياس عن بعد، وتحديد مؤشرات سلوك الخصم وإجراء عمليات الكشف والوقاية. إن محتوى الاستجابة السريعة عبارة عن استدلالات سلوكية، منفصلة ومتميزة عن قدرات الذكاء الاصطناعي الخاصة بالوقاية والكشف الخاصة بـ CrowdStrike.”

يتم بعد ذلك تحليل هذه التحديثات بواسطة مترجم المحتوى الخاص بمستشعر Falcon، والذي يسمح بعد ذلك لمحرك اكتشاف المستشعر باكتشاف الأنشطة الضارة أو منعها، اعتمادًا على تكوين سياسة العميل.

في حين يتم اختبار الضغط على كل نوع قالب جديد لمعلمات مختلفة مثل استخدام الموارد وتأثير الأداء، يمكن إرجاع السبب الجذري للمشكلة، وفقًا لـ CrowdStrike، إلى طرح نوع قالب الاتصال بين العمليات (IPC) في 28 فبراير 2024، التي تم تقديمها للإشارة إلى الهجمات التي تنتهك الأنابيب المسماة.

التسلسل الزمني للأحداث هو كما يلي –

  • 28 فبراير 2024 – تطلق CrowdStrike المستشعر 7.11 للعملاء باستخدام نوع قالب IPC الجديد
  • 5 مارس 2024 – يجتاز نوع قالب IPC اختبار التحمل ويتم التحقق من صحته للاستخدام
  • 5 مارس 2024 – تم إصدار مثيل قالب IPC للإنتاج عبر ملف القناة 291
  • 8 – 24 أبريل 2024 – تم نشر ثلاث مثيلات قالب IPC أخرى في الإنتاج
  • 19 يوليو 2024 – تم نشر مثيلين إضافيين لقالب IPC، أحدهما يجتاز التحقق من الصحة على الرغم من وجود بيانات محتوى بها مشكلات

“استنادًا إلى الاختبار الذي تم إجراؤه قبل النشر الأولي لنوع القالب (في 5 مارس 2024)، والثقة في عمليات التحقق التي تم إجراؤها في أداة التحقق من المحتوى، وعمليات نشر مثيلات قالب IPC الناجحة السابقة، تم نشر هذه المثيلات في الإنتاج،” قالت CrowdStrike. .

الأمن السيبراني

“عند استلامه بواسطة المستشعر وتحميله في مترجم المحتوى، أدى المحتوى الذي به مشكلة في ملف القناة 291 إلى قراءة ذاكرة خارج الحدود مما أدى إلى حدوث استثناء. لا يمكن التعامل مع هذا الاستثناء غير المتوقع بأمان، مما أدى إلى تعطل نظام التشغيل Windows ( الموت الزرقاء).”

ردًا على الاضطرابات الشاملة الناجمة عن التعطل ومنع حدوثها مرة أخرى، قالت الشركة التي يقع مقرها في تكساس إنها قامت بتحسين عمليات الاختبار الخاصة بها وعززت آلية معالجة الأخطاء في مترجم المحتوى. كما تخطط أيضًا لتنفيذ إستراتيجية نشر متدرجة لمحتوى الاستجابة السريعة.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى