La empresa de ciberseguridad CrowdStrike ha publicado un análisis detallado sobre la causa raíz de la falla en la actualización del software Falcon Sensor, que afectó a millones de dispositivos Windows en todo el mundo.
El incidente, conocido como "Channel File 291", fue inicialmente destacado en su revisión preliminar posterior al incidente (PIR). Se identificó que la causa principal fue un problema de validación de contenido surgido tras la introducción de un nuevo tipo de plantilla. Esta plantilla estaba destinada a mejorar la visibilidad y detección de nuevas técnicas de ataque que explotan las canalizaciones con nombre y otros mecanismos de comunicación entre procesos (IPC) de Windows.
El problema específico se debió a una actualización de contenido defectuosa implementada en la nube. CrowdStrike lo describe como una "confluencia" de varias deficiencias que resultaron en un fallo. La más notable fue un desajuste entre las 21 entradas pasadas al validador de contenido a través del tipo de plantilla IPC, comparadas con las 20 suministradas al intérprete de contenido.
CrowdStrike señaló que este desajuste de parámetros no fue detectado durante las "múltiples capas" del proceso de prueba. Esto se debió en parte al uso de criterios de coincidencia comodín para la entrada número 21 durante las pruebas y en las instancias iniciales de plantilla de IPC entregadas entre marzo y abril de 2024.
En resumen, la nueva versión del Channel File 291, lanzada el 19 de julio de 2024, fue la primera instancia de plantilla de IPC que utilizó el campo de parámetro de entrada número 21. La ausencia de un caso de prueba específico para los criterios de coincidencia sin comodines en el campo número 21 provocó que el problema no se detectara hasta que el contenido de respuesta rápida fue enviado a los sensores.
Conoce más sobre: Interrupción Global Debido a Actualización de CrowdStrike
"Los sensores que recibieron la nueva versión del Channel File 291 con el contenido defectuoso estuvieron expuestos a un problema de lectura fuera de límites latente en el intérprete de contenido", afirmó la compañía.
"En la siguiente notificación de IPC del sistema operativo, se evaluaron las nuevas instancias de plantilla de IPC y se compararon con el valor de entrada número 21. El intérprete de contenido esperaba solo 20 valores. Por lo tanto, al intentar acceder al valor número 21, se produjo una lectura de memoria fuera de los límites, más allá del final de la matriz de datos de entrada, lo que provocó un bloqueo del sistema".
Para solucionar el problema, además de validar la cantidad de campos de entrada en el tipo de plantilla en el momento de compilación del sensor, CrowdStrike también implementó controles de límites de matriz de entrada en tiempo de ejecución al intérprete de contenido para evitar lecturas de memoria fuera de los límites y corrigió la cantidad de entradas proporcionadas por el tipo de plantilla IPC.
"La verificación de límites adicional impide que el intérprete de contenido acceda fuera de los límites de la matriz de entrada y provoque un bloqueo del sistema", destacó la empresa. "Esta verificación añade una capa extra de validación en tiempo de ejecución que garantiza que el tamaño de la matriz de entrada coincida con la cantidad de entradas esperadas por el contenido de respuesta rápida".
Además, CrowdStrike planea ampliar la cobertura de pruebas durante el desarrollo del tipo de plantilla para incluir casos de prueba para criterios de coincidencia sin comodines en cada campo de todos los tipos de plantilla futuros.
También se espera que algunas actualizaciones de los sensores resuelvan las siguientes deficiencias:
Finalmente, CrowdStrike informó que ha contratado a dos proveedores independientes de software de seguridad para realizar una revisión exhaustiva del código del sensor Falcon, tanto en términos de seguridad como de garantía de calidad. También se está llevando a cabo una revisión independiente del proceso de calidad de principio a fin, desde el desarrollo hasta la implementación.
Podría interesarte leer: Nuevo Malware Daolpu: Manual Falso de CrowdStrike Engaña a Usuarios
Además, se ha comprometido a colaborar con Microsoft a medida que Windows introduce nuevas formas de implementar funciones de seguridad en el espacio del usuario, en lugar de depender de un controlador del núcleo.
"El controlador del núcleo de CrowdStrike se carga desde una fase temprana del arranque del sistema para permitir que el sensor observe y se defienda contra el malware que se lanza antes de que se inicien los procesos en modo de usuario", señaló la compañía.
"Al proporcionar contenido de seguridad actualizado, como el contenido de respuesta rápida de CrowdStrike, a estas capacidades del núcleo, el sensor puede proteger los sistemas contra un panorama de amenazas en constante evolución sin necesidad de realizar cambios en el código del núcleo. El contenido de respuesta rápida consiste en datos de configuración, no en código ni en un controlador del núcleo".