Détails techniques sur la panne du 19 juillet 2024

Détails techniques de la panne du 19 juillet 2024

20 juillet 2024

|CrowdStrike | Point de vue de l’executif

Que s’est-il passé ?

Le 19 juillet 2024 à 04:09 UTC, dans le cadre de ses opérations courantes, CrowdStrike a publié une mise à jour de la configuration des agents installés sur les systèmes Windows. Les mises à jour de la configuration des agents font partie intégrante des mécanismes de protection continus de la plate-forme Falcon. Cette mise à jour de configuration a déclenché une erreur logique entraînant un dysfonctionnement système et un écran bleu (BSOD) sur les systèmes affectés.

La mise à jour de la configuration des agents à l’origine du dysfonctionnement du système a été corrigée le vendredi 19 juillet 2024 à 05:27 UTC.

Ce problème n’est pas lié à une cyberattaque ni lié à l’une d’elles.

Impact

Les clients exécutant Falcon sensor pour Windows version 7.11 et ultérieure, dont les machines étaient en ligne entre le vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC, peuvent être affectés.

Les systèmes exécutant l’agent Falcon pour Windows 7.11 et versions ultérieures qui ont téléchargé la configuration mise à jour de 04:09 UTC à 05:27 UTC étaient susceptibles de subir un dysfonctionnement du système.

Au sujet du fichier de configuration

Les fichiers de configuration mentionnés ci-dessus sont appelés «Channel Files» et font partie des mécanismes de protection comportementale utilisés par les agents Falcon. Les mises à jour des « Channel Files » font partie du fonctionnement normal de l’agent et se produisent plusieurs fois par jour en réponse aux nouvelles tactiques, techniques et procédures découvertes par CrowdStrike. Il ne s’agit pas d’un processus nouveau ; l’architecture est en place depuis la création de Falcon.

Détails techniques

Sur les systèmes Windows, les « Channel Files » se trouvent dans le répertoire suivant :

C:\Windows\System32\drivers\CrowdStrike\

Et portent un nom de fichier commençant par « C-« . Chaque Channel File se voit attribuer un numéro d’identifiant unique. Le « Channel File » concerné dans cet événement est le 291, son nom commence par «C-00000291-» et se termine par une extension.sys. Bien que les « Channel Files » se terminent par l’extension SYS, ils ne sont pas des drivers systèmes.

Le « Channel File » 291 contrôle la façon dont Falcon évalue l’exécution des “Named Pipes”1 sur les systèmes Windows. Les « Named Pipes » sont utilisés pour la communication interprocessus ou intersystèmes dans Windows.

La mise à jour qui s’est produite à 04:09 UTC a été conçue pour cibler de nouveaux « Named Pipes » malveillants, utilisés par des frameworks courants de command and control (C2) lors de cyberattaques. La mise à jour de la configuration a déclenché une erreur logique qui a entraîné un crash du système d’exploitation.

Channel File 291

CrowdStrike a corrigé l’erreur de logique en mettant à jour le contenu du Channel File 291. Aucune modification supplémentaire du Channel File 291 au-delà de la logique mise à jour ne sera déployée. L’agent Falcon est toujours en train de monitorer et de protéger contre les compromissions des « named pipes ».

Cela n’est pas lié aux octets nuls contenus dans le Channel File 291 ni aucune autre Channel File.

Remédiation

Les recommandations et informations les plus récentes sur les mesures correctives sont disponibles sur notre blog ou sur le portail d’assistance.

Nous comprenons que certains clients peuvent avoir des besoins spécifiques en matière d’assistance et nous leur demandons de nous contacter directement.

Les systèmes qui ne sont pas actuellement touchés continueront de fonctionner comme prévu, continueront d’offrir une protection et ne courent aucun risque de subir cet événement à l’avenir.

Les systèmes exécutant Linux ou MacOS n’utilisent pas le Channel File 291 et n’ont pas été affectés.

Analyse des causes profondes

Nous comprenons comment ce problème s’est produit et nous effectuons une analyse approfondie des causes profondes pour déterminer comment ce défaut de logique s’est produit. Cet effort se poursuivra. Nous nous engageons à identifier les améliorations fondamentales ou le flux de travail que nous pouvons apporter pour renforcer notre processus. Nous mettrons à jour nos constatations dans l’analyse des causes profondes au fur et à mesure que l’enquête progresse.

¹https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes