Technische Analyse des CrowdStrike-Vorfalls durch Microsoft

 (microsoft.com)
1 Punkte von GN⁺ 2024-07-29 | 1 Kommentare | Auf WhatsApp teilen

Technische Analyse des CrowdStrike-Ausfalls

  • Die Ursache war ein Problem mit der Speichersicherheit im CSagent-Treiber, insbesondere eine Zugriffsverletzung durch Lesezugriffe außerhalb des gültigen Bereichs
  • Die Analyse wurde mit Microsofts WinDBG-Kernel-Debugger und mehreren kostenlos verfügbaren Erweiterungen durchgeführt

Funktion des Treibers CSagent.sys

  • Das Modul CSagent.sys ist als Dateisystem-Filtertreiber registriert, wie er typischerweise von Anti-Malware-Agenten verwendet wird
  • Es wird verwendet, um Benachrichtigungen über Dateioperationen wie das Erstellen oder Ändern von Dateien zu empfangen
  • Sicherheitsprodukte nutzen dies zum Scannen, sobald neue Dateien auf dem Datenträger gespeichert werden, etwa bei Datei-Downloads über den Browser
  • Es kann auch als Signal für Sicherheitslösungen dienen, die Systemaktivitäten überwachen wollen
  • CrowdStrike erklärte, dass ein Teil des Content-Updates eine Änderung der Logik zur Erstellung von Named Pipes im Sensor betraf
  • Die API für Dateisystem-Filtertreiber ermöglicht es dem Treiber, Aufrufe zu empfangen, wenn im System Named-Pipe-Aktivitäten auftreten, etwa das Erstellen einer Named Pipe, was die Erkennung bösartiger Aktivitäten ermöglicht

Die verschiedenen Treibermodule von CrowdStrike

  • CrowdStrike lädt vier Treibermodule: CSBoot, CSDeviceControl, CSAgent und CSFirmwareAnalysis
  • Eines davon erhielt laut der Timeline der Post-Incident-Review von CrowdStrike häufig dynamische Steuerungs- und Content-Updates

Veränderung der Anzahl von Absturzberichten im Zusammenhang mit den CrowdStrike-Treibern

  • Es wurde ermittelt, wie viele Windows-Absturzberichte durch diesen speziellen Programmierfehler von CrowdStrike erzeugt wurden
  • Die Anzahl der Geräte, die Absturzberichte erzeugten, ist geringer als die Zahl der betroffenen Geräte, die Microsoft in einem früheren Blogbeitrag genannt hat
  • Das liegt daran, dass Absturzberichte nur stichprobenartig erfasst und nur von Kunden gesammelt werden, die dem Hochladen solcher Berichte an Microsoft zugestimmt haben
  • Kunden, die die Freigabe von Crash-Dumps aktivieren, helfen Treiberanbietern und Microsoft dabei, Qualitätsprobleme und Abstürze zu erkennen und zu beheben

Lässt sich Windows in einem Modus mit höherer Sicherheit bereitstellen?

  • Windows kann mit integrierten Tools abgesichert werden, und die Sicherheitsstandards werden fortlaufend angehoben
  • In Windows 11 sind standardmäßig Dutzende neuer Sicherheitsfunktionen aktiviert
  • Zu den integrierten Sicherheitsfunktionen gehören Secure Boot, Measured Boot, Speicherschutzintegrität, die Sperrliste für anfällige Treiber, Schutz der Local Security Authority und Microsoft Defender Antivirus
  • Diese Sicherheitsfunktionen bieten in aktuellen Windows-Versionen Schutzschichten gegen Malware und Exploit-Versuche
  • Unternehmen, die Best Practices befolgen, etwa als Standardbenutzer zu arbeiten und Berechtigungen nur bei Bedarf zu erhöhen, entschärfen viele MITRE ATT&CK-Techniken

Nächste Schritte

  • Microsoft wird mit dem Ökosystem zusammenarbeiten, um Anti-Malware-Anbietern zu helfen, ihren Ansatz mithilfe integrierter Windows-Funktionen zu modernisieren und Sicherheit sowie Stabilität zu verbessern
  • Durch Richtlinien für sichere Rollouts, Best Practices und Technologien sollen Updates von Sicherheitsprodukten sicherer durchgeführt werden
  • Die Zahl der Fälle, in denen Kernel-Treiber für den Zugriff auf wichtige Sicherheitsdaten erforderlich sind, soll reduziert werden
  • Technologien wie VBS-Enclaves sollen verbesserte Isolierung und Schutz vor Manipulation bieten
  • Zero-Trust-Ansätze wie hochintegre Zustandsnachweise sollen ermöglicht werden, mit denen sich der Sicherheitsstatus eines Geräts anhand des Zustands der nativen Windows-Sicherheitsfunktionen bestimmen lässt
  • Windows hat im Rahmen von Microsofts Secure Future Initiative ein Bekenntnis zur Programmiersprache Rust veröffentlicht und erweitert die Rust-Unterstützung im Windows-Kernel
  • Die Informationen in diesem Blogbeitrag werden als Teil des Engagements bereitgestellt, die Lehren aus dem CrowdStrike-Vorfall und die nächsten Schritte transparent zu machen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-29
Hacker-News-Kommentare

  • Microsoft plant, mit dem Antimalware-Ökosystem zusammenzuarbeiten, um Sicherheitssoftware zu modernisieren

    • Bereitstellung von Richtlinien, Best Practices und Technologien, um Updates sicher durchzuführen
    • Verringerung der Notwendigkeit von Kernel-Treibern für den Zugriff auf wichtige Sicherheitsdaten
    • Es sollen Funktionen aufgelistet werden, die im User-Mode laufen, um die im Kernel-Mode ausgeführten Komponenten zu reduzieren

  • Es scheint, als müsse man die Analyse von CrowdStrike abwarten

    • Es wird erklärt, warum Sicherheitssoftware historisch im Kernel-Mode lief
    • Microsoft treibt neue Technologien voran, damit Sicherheitsanbieter in den User-Mode wechseln
    • CrowdStrike läuft auf Mac und Linux bereits im User-Mode
    • Würde es unter Windows ebenfalls im User-Mode laufen, ließe sich das Risiko fataler Fehler wie Blue Screens verringern
    • Hätte Windows Sicherheitsanbieter wie Apple aus dem Kernel-Mode herausgehalten, wäre dieses Problem wohl nicht aufgetreten

  • Bemerkenswert ist, dass eBPF nicht erwähnt wird

    • eBPF ist unter Linux Standard und auch unter Windows verfügbar, wurde aber noch nicht in die wichtigsten Windows-OS-Versionen übernommen
    • Statische Analyse hätte den Blue-Friday-Bug möglicherweise erkennen können, erhöht aber schon jetzt das Schutzniveau gegenüber dem aktuellen Kernel-Modell

  • Es überrascht nicht, dass Microsoft selbst ein wichtiger Konkurrent von CrowdStrike ist

  • Das dürfte Marketing und Rechtsabteilung passiert haben

    • Wichtig ist, ein OS/eine Distribution zu wählen, das bzw. die sich auf Grundlage der Lehren aus dem Vorfall verbessert

  • Die Alternative, dass allein Microsoft entscheidet, was Nutzer tun dürfen, ist noch schlimmer

    • Es gibt Leute, die digitalen Totalitarismus befürworten

  • Die technische Analyse mit dem Ablauf des Debugging-Prozesses und Ressourcen-Links war gut

    • Mehr Debugging-Retrospektiven sollten so sein

  • Weder in den Aussagen von MS noch von CrowdStrike wird erklärt, wie dieser Crash die QC umgehen konnte

    • Es ist nicht nachvollziehbar, dass ein zu 100 % reproduzierbarer Crash nicht in einer frühen Phase der QC entdeckt wurde

  • Es gibt Erfahrung aus der Forschung zu Control Flow Integrity (CFI/XFI)

    • Es war möglich, Kernel-Module in einer Sandbox auszuführen
    • Heute lassen sich durch das Kompilieren von Code mit den passenden Flags speichersicherheitsbezogene Fehler vollständig ausschließen
    • Man könnte einen BSOD in eine höfliche Log-Meldung verwandeln und den fehlerhaften Treiber deaktivieren