Tags:
Topics: 
Node Thumbnail

CrowdStrike ออกรายงานวิเคราะห์ปัญหา Falcon Sensor ทำเครื่องคอมพิวเตอร์ทั่วโลกจอฟ้าเมื่อเดือนที่ผ่านมา โดยระบุว่าเป็นปัญหาความไม่ตรงกันของซอฟต์แวร์ที่รัน และข้อมูลที่ต้องการตรวจสอบ

ภายใน Falcon Sensor นั้นมีระบบหลักคือ Content Interpreter ซึ่งเป็นเอนจิน regular expression สำหร้บตรวจสอบข้อมูลช่องทางต่างๆ เอนจินนี้ทำหน้าที่ดึงข้อมูลจาก channel file ที่ได้รับอัพเดตมาเรื่อยๆ มาตรวจสอบว่าข้อมูลที่วิ่งผ่านช่องทางต่างๆ ตรงกับข้อมูลใน channel file หรือไม่

ใน Falcon Sensor 7.11 ที่เริ่มใช้งานตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมามีการเพิ่มช่องทางตรวจสอบเพิ่มเติมทาง Windows interprocess communication หรือ IPC เพื่อตรวจสอบการโจมตีผ่านการสื่อสารระหว่างโปรเซส เช่น named pipe ตัว IPC Template นี้ต้องการพารามิเตอร์ 21 รายการ แต่สามารถละรายการที่ 21 ไว้ได้ ถือว่าเป็น wildcard ก่อนหน้านี้ IPC Template ที่ใช้งานมา มีการใส่พารามิเตอร์เพียง 20 รายการเสมอ และโค้ดของ Content Interpreter กลับโค้ดไว้ว่า IPC Template ต้องการพารามิเตอร์ 20 ตัวเท่านั้น แม้จะไม่ตรงกันแต่ก็ทำงานมาได้เรื่อยๆ หลายเดือนเพราะพารามิเตอร์ที่ 21 ใน template ก่อนหน้านี้เป็น optional

เมื่อวันที่ 19 กรกฎาคมที่ผ่านมา ทาง CrowdStrike ปล่อย template ใหม่อีกสองตัว โดยตัวหนึ่งต้องการพารามิเตอร์ที่ 21 เสมอ ไม่สามารถละไว้ไม่กำหนดค่าได้ หลังจากคอมพิวเตอร์ที่ได้ channel file นี้พบ IPC notification ตัว Falcon Sensor ก็จะพยายามรัน template เหล่านี้เพื่อตรวจจับการบุกรุก

จังหวะนี้ตัวเรนเดอร์ template พยายามดึงพารามิเตอร์ 21 ตัวตามที่จำเป็น ขณะที่ Content Interpreter เตรียมพารามิเตอร์ไว้ 20 ตัวเท่านั้น เมื่อดึงข้อมูลเกินจึงกลายเป็น out-of-bound memory ทันที เพราะตัวเรนเดอร์พยายามอ่านข้อมูลเกินพื้นที่ที่เตรียมไว้ และเคอร์เนลก็แครชไปกลายเป็นจอฟ้า

กระบวนการทดสอบ channel file ก่อนปล่อยสู่ลูกค้านั้นมีการทดสอบหลายมิติ ทั้งระดับการใช้ทรัพยากรเครื่อง และอัตราการตรวจจับ แต่ไม่ได้ตรวจสอบใน Content Interpreter โดยรายงานได้ระบุถึงกระบวนการแก้ไขที่ทำไปแล้วและกำลังทำ เช่น การตรวจสอบว่าไม่มี template ใดๆ มีจำนวนพารามิเตอร์ไม่ตรงกันเช่นนี้อีก, กระบวนการตรวจสอบหลังจากนี้มีการตรวจสอบตรงกับการรันบนเครื่องจริงยิ่งขึ้น

รายงานนี้ยังระบุว่าจะพยายามย้ายงานต่างๆ ออกจากเคอร์เนลไปรันระบบตรวจสอบบน user space แทนเพื่อลดปัญหาเช่นนี้อีกในอนาคต และจะทำงานร่วมกับไมโครซอฟท์เพื่อเพิ่มฟีเจอร์ที่จำเป็นสำหรับการรันซอฟต์แวร์ความปลอดภัยนอกเคอร์เนล

ที่มา - CrowdStrike

Get latest news from Blognone

Comments

By: Mediumrare
AndroidWindows
on 7 August 2024 - 01:35 #1318859

พารามิตเตอร์

พารามิเตอร์