CrowdStrike : un défaut du « Content Validator » a permis la publication de la mise à jour sur Windows !
Suite à la panne mondiale dont il est à l'origine, l'éditeur CrowdStrike a publié un nouveau rapport pour rendre des comptes et essayer d'expliquer les raisons de ce bug aux conséquences importantes.
Sur son site, CrowdStrike a publié un nouveau rapport intitulé "Preliminary Post Incident Review" qui nous permet de savoir un peu plus précisément ce qu'il s'est passé. Autrement dit, il apporte des éléments de réponse à la question suivante : comment cette mise à jour foireuse a-t-elle pu être diffusée auprès des agents Falcon ?
Le vendredi 19 juillet 2024, CrowdStrike a publié une mise à jour de la configuration pour Falcon sur Windows dans le but de "recueillir des données télémétriques sur d'éventuelles nouvelles techniques de menace.". Malheureusement, rien ne s'est passé comme prévu car cette mise à jour a été à l'origine du plantage de 8,5 millions de PC sous Windows.
En lisant le rapport, nous apprenons que, malgré la présence d'un contenu problématique, cette mise à jour a passé les tests de validation du module "Content Validator" de CrowdStrike.
"Sur la base des tests effectués avant le déploiement initial du Template Type (le 5 mars 2024), de la confiance dans les vérifications effectuées par le validateur de contenu et des déploiements antérieurs réussis de l'instance de modèle IPC, ces instances ont été déployées en production.", précise CrowdStrike. Donc, il y a bien eu un défaut dans le processus de validation, et nous pourrions même dire, qu'il y a eu un excès de confiance.
Ici, CrowdStrike fait référence à ses précédents déploiements de configuration basés sur le modèle de type IPC (Inter-Process Communication). Déployées régulièrement, dans le cadre de ce que l'éditeur appelle des "Rapid Response Content", ces mises à jour servent à améliorer les capacités de détection de comportements suspects sur les appareils où Falcon est installé. C'est un peu comme une mise à jour des définitions avec un antivirus classique.
"Lorsqu'il a été reçu par le capteur et chargé dans l'interpréteur de contenu, le contenu problématique du fichier de canal 291 a donné lieu à une lecture mémoire hors des limites qui a déclenché une exception.", explique CrowdStrike pour justifier le fait que cette mise à jour a fait planter Windows.
De nouvelles mesures préventives
CrowdStrike veut éviter à tout prix que cet incident se répète. De ce fait, la société spécialisée dans la cybersécurité va mettre en place certaines mesures préventives, tout en révisant sa stratégie de déploiement.
Le processus de mises à jour "Rapid Response Content", directement concerné par cet incident, va bénéficier des améliorations suivantes :
- Tests des développeurs locaux
- Tests de mise à jour du contenu et de retour en arrière
- Tests de stress, fuzzing et injection de fautes
- Tests de stabilité
- Tests de l'interface du contenu
Le module "Content Validator" va être amélioré pour effectuer des vérifications supplémentaires, notamment pour détecter ce type d'erreur à l'avenir. De plus, l'interpréteur de contenu de l'agent Falcon va être optimisé pour mieux gérer les erreurs, et ainsi prévenir le déclenchement d'une exception.
Par ailleurs, ces mises à jour ne seront plus diffusées à grande échelle dès le départ, mais de façon progressive. Ceci implique aussi la surveillance du comportement du système et de l'agent Falcon. CrowdStrike aimerait également donner plus de contrôle à ses clients : "Offrir aux clients un meilleur contrôle sur la diffusion des mises à jour de Rapid Response Content en permettant une sélection granulaire du moment et de l'endroit où ces mises à jour sont déployées.", peut-on lire.
Enfin, CrowdStrike s'est engagé à fournir une analyse technique plus détaillée sur cet incident, mais pour cela, il faudra patienter le temps que les investigations soient terminées.
Qu'en pensez-vous ?
