クラウドストライクがEDR Falcon Sensorによる世界的な障害についての根本原因を発表
2024年8月6日 クラウドストライク(CrowdStrike)は同社が提供するのEDR CrowdStrike Falcon Sensorによ世界的なIT障害についての根本原因を発表しました。
目次
CrowdStrike Falcon Sensorがクラッシュした原因
2024年2月にセンサーのバージョン7.11のリリースに伴い、CrowdStrikeは、名前付きパイプやその他のWindowsプロセス間通信(IPC)メカニズムを悪用する新しい攻撃手法の可視性と検出を可能にする新しいテンプレートタイプを導入。
この新しいIPCテンプレートタイプは、標準のセンサーコンテンツ開発プロセスに従って開発およびテストされ、フィールドでの使用準備が整うためにセンサーに統合されました。IPCテンプレートのインスタンスは、対応するチャンネルファイル番号291を通じてセンサーにRapid Response Contentとして配信されます。
新しいIPCテンプレートタイプは21の入力パラメータフィールドを定義していましたが、チャンネルファイル291のテンプレートインスタンスとともにコンテンツインタープリタを呼び出す統合コードは、一致させるために20の入力値のみを提供していました
このパラメータ数の不一致は、センサーリリーステストプロセス中、テンプレートタイプのテストテンプレートインスタンスのストレステスト中、またはフィールドでの最初のいくつかのIPCテンプレートインスタンスの成功した展開中には発見されませんでした。
部分的には、テスト中および最初のIPCテンプレートインスタンスで21番目の入力にワイルドカード一致基準を使用したためです。
2024年7月19日に、2つの追加のIPCテンプレートインスタンスが展開されました。そのうちの1つは21番目の入力パラメータにワイルドカードではない一致基準を導入しました。
これらの新しいテンプレートインスタンスは、センサーが21番目の入力パラメータを検査する必要がある新しいバージョンのチャンネルファイル291をもたらしました。
このチャンネルファイルがセンサーに配信されるまで、以前のチャンネルバージョンのIPCテンプレートインスタンスは21番目の入力パラメータフィールドを使用していませんでした。コンテンツバリデータは新しいテンプレートインスタンスを評価しましたが、IPCテンプレートタイプが21の入力を提供することを前提に評価を行っていました。
問題のあるコンテンツを持つ新しいバージョンのチャンネルファイル291を受け取ったセンサーは、コンテンツインタープリタ内の潜在的な範囲外読み取り問題にさらされました。
次のOSからのIPC通知時に、新しいIPCテンプレートインスタンスが評価され、21番目の入力値と比較することが指定されました。
コンテンツインタープリタは20の値しか期待していなかったため、21番目の値にアクセスしようとすると、入力データ配列の終わりを超えて範囲外のメモリを読み取ることになり、システムクラッシュを引き起こしました。 としています。
引用:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub
クラウドストライク(CrowdStrike)の世界的なIT障害とは
2024年7月19日 クラウドストライク(CrowdStrike)のEDRにより、Windowsでブルースクリーン(BSoD)が表示され世界的に端末が使用不可になりました。
デルタ航空はクラウドストライク(CrowdStrike)への損害賠償請求を検討
2024年7月31日 デルタ航空のエド・バスティアンCEOは、デルタ航空は24時間365日運航しているため、デルタ航空の重要なシステムインフラに企業がアクセスすることはできないため、展開されているものを「テストしなければならない」として、
同社には障害に対する損害賠償を求める以外に「選択肢はない」と述べました。
クラウドストライクのCEOが世界的な障害で米議会での証言を求められる可能性
米下院国土安全保障委員会を率いる共和党議員らはこの件についての回答を早急に得たいと述べており、米議会での証言を求められる可能性もあります。
クラウドストライク(CrowdStrike)の障害に影響した企業
・デルタ航空
・JAL
・ユナイテッド航空
・デルタ航空
・アメリカン航空
・エアインディア
上記以外にもUSJ 施設内のレジが利用できない状態になり、快活CLUBが一時的に休業しました。