Premiers détails sur l’origine du crash de `CSAgent.sys` de CrowdStrike

 (twitter.com/patrickwardle)
1 points par GN⁺ 2024-07-22 | 1 commentaires | Partager sur WhatsApp

À lire aussi

1 commentaires

 
GN⁺ 2024-07-22
Commentaire Hacker News

  • Premier commentaire

    • Le problème de BSOD est dû à une combinaison de données binaires incorrectes et d’un parseur mal écrit
    • D’après l’expérience des dix dernières années, la plupart des CVE, plantages, bugs et problèmes de lenteur surviennent lors du processus de désérialisation de données binaires en structures de données lisibles par la machine
    • Cela concerne des domaines variés comme les algorithmes de compression, les lecteurs de contours de polices, les parseurs d’images/vidéos/audio, les parseurs de données de jeux vidéo, les parseurs XML/HTML, ainsi que les parseurs de certificats/signatures/clés d’OpenSSL
    • Le parseur de contenu du programme EDR de CrowdStrike ne fait pas exception

  • Deuxième commentaire

    • Une solution open source pourrait être plus éthique qu’un logiciel de surveillance des terminaux fondé sur un rootkit
    • Les outils open source fonctionnent de manière transparente et peuvent garantir l’absence de backdoors ou de bugs graves
    • Ils peuvent être audités publiquement, et le modèle économique pourrait reposer sur une équipe de sécurité fournissant des signatures de malware

  • Troisième commentaire

    • Microsoft porte une part de responsabilité dans la panne de CrowdStrike
    • Microsoft occupe de fait une position quasi monopolistique dans l’informatique sur postes de travail et a l’obligation de garantir la sécurité, la fiabilité et les fonctionnalités de ses produits
    • En l’absence de concurrence, l’innovation sur Windows ralentit
    • Par exemple, CrowdStrike s’exécute en espace utilisateur sur MacOS et Linux, mais pas sur Windows
    • Il faut des innovations en matière de sandboxing des applications
    • Microsoft détient les clés de l’infrastructure informatique mondiale et n’est presque pas surveillé
    • Même si la part des revenus de Windows a diminué, il s’agit d’un produit qui fait fonctionner des infrastructures critiques et qui exige donc davantage de responsabilité
    • Les pouvoirs publics devraient stimuler la concurrence sur le marché des environnements de bureau, ou réglementer le produit Windows de Microsoft

  • Quatrième commentaire

    • Il est difficile de comprendre pourquoi l’impact a été aussi large
    • Pour les services critiques, les déploiements lents avec surveillance automatique et mécanismes de rollback sont généralement la norme
    • Il est courant de déployer d’abord en phase bêta sans trafic client, puis d’élargir progressivement en l’absence de problème
    • Cette approche aurait pu permettre d’arrêter immédiatement le problème

  • Cinquième commentaire

    • Je n’utilise pas CrowdStrike, mais il semble que le pilote CS soit installé en premier et conçu pour ne pas pouvoir être supprimé
    • Le pilote charge un fichier de données non signé, que l’utilisateur peut supprimer librement
    • Un utilisateur malveillant pourrait créer un fichier de données malveillant et provoquer un dysfonctionnement du pilote
    • Il existe un risque d’obtenir des privilèges kernel

  • Sixième commentaire

    • Je me demande pourquoi le problème n’a pas été détecté lors du déploiement de test
    • Il est difficile de croire qu’aucun test n’a été effectué avant le déploiement
    • Toute entreprise devrait disposer d’un environnement de test avant un déploiement
    • Il est courant, pendant le développement, d’installer des packages qui échouent ou provoquent des problèmes, mais il n’est pas souhaitable de les déployer directement en production

  • Septième commentaire

    • Je me demande si les clients de CrowdStrike peuvent donner leur avis sur les mises à jour
    • Je me demande si tous les clients accordent à CrowdStrike un droit complet d’exécution de code à distance
    • J’espère que les autorités de certification et les experts en cryptographie pourront bloquer ce type de mises à jour sur leurs systèmes

  • Huitième commentaire

    • Je me demande si le "fichier de canal" est signé et vérifié par le pilote CS
    • Si ce n’est pas le cas, cela pourrait constituer une vulnérabilité majeure du rootkit
    • Les entrées exécutées avec des privilèges élevés devraient au minimum faire l’objet d’une vérification d’intégrité
    • Le simple fait de pouvoir supprimer le fichier de canal semble indiquer l’absence de mécanisme anti-détection