Mis à jour le 13-08-2024 à 1620 UTC
Résumé exécutif du RCA Channel File 291
Ce document résume les conclusions du rapport d’analyse des causes profondes (RCA) de CrowdStrike. Le rapport complet développe les informations précédemment partagées dans notre rapport préliminaire post-incident (PIR), fournissant plus d’informations sur les conclusions, les mesures d’atténuation, les détails techniques et l’analyse des causes profondes de l’incident. Ce document est une traduction de la version anglaise suivante https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/. Cette traduction est uniquement fournie afin d’en faciliter la compréhension. En cas de conflit ou d’ambiguïté, la version anglaise prévaudra toujours.
Télécharger le PDF de l’analyse des causes profondes (RCA)
Introduction
CrowdStrike a été fondé avec pour mission de vous protéger contre les cyberadversaires d’aujourd’hui et d’arrêter les brèches ou compromissions. Le 19 juillet 2024, dans le cadre de ses activités courantes, CrowdStrike a publié une mise à jour de la configuration du contenu (via les Channel Files) de l’agent Windows, provoquant une panne du système. Nous nous en excusons sans réserve.
Nous reconnaissons les efforts incroyables déployés 24 heures sur 24 par nos clients et partenaires qui, aux côtés de nos équipes, se sont immédiatement mobilisés pour restaurer les systèmes et les remettre en ligne en quelques heures. Au 29 juillet 2024, à 20h00 EDT, environ 99 % des agents Windows étaient en ligne, par rapport à leur état avant la mise à jour du contenu. Nous constatons généralement un écart d’environ 1 % d’une semaine à l’autre en ce qui concerne les connexions des agents. À tous les clients encore affectés, nous restons mobilisés tant que tous les systèmes ne seront pas restaurés.
Que s’est-il passé ?
L’agent CrowdStrike Falcon fournit l’IA et le Machine Learning (ML) pour protéger les systèmes des clients en identifiant et en remédiant aux dernières cybermenaces avancées. En février 2024, CrowdStrike a introduit une nouvelle fonctionnalité de l’agent afin d’avoir une meilleure visibilité sur les nouvelles techniques d’attaque susceptibles d’abuser de certains mécanismes de Windows. Cette fonctionnalité a un ensemble de champs prédéfinis permettant au Rapid Response Content de collecter des données. Comme indiqué dans le RCA, cette nouvelle capacité de l’agent a été développée et testée conformément à nos processus de développement logiciel standard.
Le 5 mars 2024, à la suite d’un test de résistance réussi (stress test), le premier Rapid Response Content pour le Channel File 291 a été mis en production dans le cadre d’une mise à jour de configuration du contenu, et trois mises à jour du Rapid Response supplémentaires ont été déployées entre le 8 avril 2024 et le 24 avril 2024. Ceux-ci ont fonctionné comme prévu en production.
Le 19 juillet 2024, une mise à jour du Rapid Response Content a été fournie à certaines machines Windows, faisant évoluer la nouvelle fonctionnalité publiée pour la première fois en février 2024. L’agent attendait 20 champs de données, tandis que la mise à jour fournissait 21 champs de données. Dans ce cas, la non-concordance a entraîné une lecture de mémoire hors limites, provoquant ainsi une panne du système. Notre analyse, complétée par une analyse d’une entreprise externe, ont confirmé que ce bug n’est pas exploitable par un cybercriminel.
Bien que ce scénario avec le Channel File 291 ne puisse plus se reproduire, il explique les améliorations des processus et les mesures de remédiations que CrowdStrike est en train de déployer afin de renforcer davantage sa résilience.
Ce que nous avons fait et quelles sont les prochaines étapes
Sur la base des résultats du RCA, voici certaines des mesures que CrowdStrike a prises et va prendre à l’avenir :
- Mettre à jour les procédures de test du système de configuration du contenu. Ce travail a été achevé. Il comprend des tests mis à jour pour le développement des “Template Types”, avec des tests automatisés pour tous les “Templates Types” existants. Les “Template Types” font partie de l’agent et contiennent des champs prédéfinis que les ingénieurs chargés de la détection des cybermenaces peuvent utiliser dans le “Rapid Response Content”.
- Ajouter des étapes de déploiement supplémentaires et des contrôles d’acceptation pour le Content Configuration System. Ce travail a été complété avec un processus par phase de déploiement (Deployment Ring) des mises à jour, garantissant que les “Template Instances” passent par des itérations de déploiement successives avant leur déploiement en production.
- Offrir aux clients un contrôle supplémentaire sur le déploiement des mises à jour des Rapid Response Content. De nouvelles capacités ont été mises en œuvre et déployées sur notre cloud qui permettent aux clients de contrôler la façon dont les Rapid Response Content sont déployés, et d’autres fonctionnalités sont prévues à l’avenir.
- Empêcher la création de Channel Files 291 problématiques. La validation du nombre de champs a été ajoutée pour éviter que ce problème se produise.
- Implémenter des contrôles supplémentaires dans le Content Validator. Des contrôles supplémentaires sont prévus pour une mise en production d’ici le 19 août 2024.
- Améliorer la vérification des limites dans l’interpréteur de contenu pour le Rapid Response Content dans le Channel File 291. La vérification des limites a été ajoutée le 25 juillet 2024, la disponibilité générale (GA) étant prévue pour le 9 août 2024. Ces correctifs sont rétro-portés sur toutes les versions d’agent Windows 7.11 et supérieures par le biais d’une publication de correctifs logiciels pour les agents.
- Engager deux fournisseurs tiers indépendants de sécurité logicielle pour procéder à un examen approfondi complémentaire du code de l’agent Falcon et de la totalité des processus de contrôle qualité et de publication des mises à jour. Ce travail a commencé et se poursuivra dans le cadre de l’attention que nous portons à la sécurité et à la résilience dès la conception de nos logiciels.
Pour plus d’informations et les termes définis, veuillez vous référer au RCA.