By: lew 
on 7 August 2024 - 00:35
Tags:
Topics:
CrowdStrike ออกรายงานวิเคราะห์ปัญหา Falcon Sensor ทำเครื่องคอมพิวเตอร์ทั่วโลกจอฟ้าเมื่อเดือนที่ผ่านมา โดยระบุว่าเป็นปัญหาความไม่ตรงกันของซอฟต์แวร์ที่รัน และข้อมูลที่ต้องการตรวจสอบ
ภายใน Falcon Sensor นั้นมีระบบหลักคือ Content Interpreter ซึ่งเป็นเอนจิน regular expression สำหร้บตรวจสอบข้อมูลช่องทางต่างๆ เอนจินนี้ทำหน้าที่ดึงข้อมูลจาก channel file ที่ได้รับอัพเดตมาเรื่อยๆ มาตรวจสอบว่าข้อมูลที่วิ่งผ่านช่องทางต่างๆ ตรงกับข้อมูลใน channel file หรือไม่
ใน Falcon Sensor 7.11 ที่เริ่มใช้งานตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมามีการเพิ่มช่องทางตรวจสอบเพิ่มเติมทาง Windows interprocess communication หรือ IPC เพื่อตรวจสอบการโจมตีผ่านการสื่อสารระหว่างโปรเซส เช่น named pipe ตัว IPC Template นี้ต้องการพารามิเตอร์ 21 รายการ แต่สามารถละรายการที่ 21 ไว้ได้ ถือว่าเป็น wildcard ก่อนหน้านี้ IPC Template ที่ใช้งานมา มีการใส่พารามิเตอร์เพียง 20 รายการเสมอ และโค้ดของ Content Interpreter กลับโค้ดไว้ว่า IPC Template ต้องการพารามิเตอร์ 20 ตัวเท่านั้น แม้จะไม่ตรงกันแต่ก็ทำงานมาได้เรื่อยๆ หลายเดือนเพราะพารามิเตอร์ที่ 21 ใน template ก่อนหน้านี้เป็น optional
เมื่อวันที่ 19 กรกฎาคมที่ผ่านมา ทาง CrowdStrike ปล่อย template ใหม่อีกสองตัว โดยตัวหนึ่งต้องการพารามิเตอร์ที่ 21 เสมอ ไม่สามารถละไว้ไม่กำหนดค่าได้ หลังจากคอมพิวเตอร์ที่ได้ channel file นี้พบ IPC notification ตัว Falcon Sensor ก็จะพยายามรัน template เหล่านี้เพื่อตรวจจับการบุกรุก
จังหวะนี้ตัวเรนเดอร์ template พยายามดึงพารามิเตอร์ 21 ตัวตามที่จำเป็น ขณะที่ Content Interpreter เตรียมพารามิเตอร์ไว้ 20 ตัวเท่านั้น เมื่อดึงข้อมูลเกินจึงกลายเป็น out-of-bound memory ทันที เพราะตัวเรนเดอร์พยายามอ่านข้อมูลเกินพื้นที่ที่เตรียมไว้ และเคอร์เนลก็แครชไปกลายเป็นจอฟ้า
กระบวนการทดสอบ channel file ก่อนปล่อยสู่ลูกค้านั้นมีการทดสอบหลายมิติ ทั้งระดับการใช้ทรัพยากรเครื่อง และอัตราการตรวจจับ แต่ไม่ได้ตรวจสอบใน Content Interpreter โดยรายงานได้ระบุถึงกระบวนการแก้ไขที่ทำไปแล้วและกำลังทำ เช่น การตรวจสอบว่าไม่มี template ใดๆ มีจำนวนพารามิเตอร์ไม่ตรงกันเช่นนี้อีก, กระบวนการตรวจสอบหลังจากนี้มีการตรวจสอบตรงกับการรันบนเครื่องจริงยิ่งขึ้น
รายงานนี้ยังระบุว่าจะพยายามย้ายงานต่างๆ ออกจากเคอร์เนลไปรันระบบตรวจสอบบน user space แทนเพื่อลดปัญหาเช่นนี้อีกในอนาคต และจะทำงานร่วมกับไมโครซอฟท์เพื่อเพิ่มฟีเจอร์ที่จำเป็นสำหรับการรันซอฟต์แวร์ความปลอดภัยนอกเคอร์เนล
ที่มา - CrowdStrike
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
- สงคราม AI 2024: OpenAI ชิงปาดหน้า Google วันเดียว | Cloudnone EP.17
Comments
พารามิเตอร์