Analyse technique par Microsoft de l’incident CrowdStrike

 (microsoft.com)
1 points par GN⁺ 2024-07-29 | 1 commentaires | Partager sur WhatsApp

Analyse technique de la panne CrowdStrike

  • Le problème de sécurité mémoire du pilote CSagent, en particulier une violation d’accès par lecture hors limites, était la cause fondamentale
  • L’analyse a été réalisée à l’aide du débogueur noyau WinDBG de Microsoft et de plusieurs extensions disponibles gratuitement

Fonction du pilote CSagent.sys

  • Le module CSagent.sys est enregistré comme un pilote de filtre du système de fichiers couramment utilisé par les agents antimalware
  • Il sert à recevoir des notifications sur les opérations de fichiers, comme la création ou la modification de fichiers
  • Il est utilisé pour que les produits de sécurité effectuent une analyse chaque fois qu’un nouveau fichier est enregistré sur le disque, par exemple lors d’un téléchargement via un navigateur
  • Il peut aussi servir de signal pour les solutions de sécurité qui cherchent à surveiller le comportement du système
  • CrowdStrike a expliqué qu’une partie de la mise à jour de contenu concernait une modification de la logique liée à la création de named pipes par le sensor
  • L’API des pilotes de filtre du système de fichiers permet au pilote de recevoir des appels lorsqu’une activité de named pipe se produit sur le système (par exemple, la création d’un named pipe), ce qui rend possible la détection d’activités malveillantes

Les différents modules de pilote de CrowdStrike

  • CrowdStrike charge quatre modules de pilote : CSBoot, CSDeviceControl, CSAgent et CSFirmwareAnalysis
  • L’un d’eux recevait fréquemment des mises à jour dynamiques de contrôle et de contenu, d’après la chronologie de la revue post-incident de CrowdStrike

Évolution du nombre de rapports de crash liés au pilote CrowdStrike

  • Microsoft a identifié le nombre de rapports de crash Windows générés par cette erreur de programmation spécifique de CrowdStrike
  • Le nombre d’appareils ayant généré un rapport de crash est inférieur au nombre d’appareils affectés partagé précédemment par Microsoft dans un billet de blog
  • Cela s’explique par le fait que les rapports de crash sont échantillonnés et ne sont collectés que chez les clients ayant choisi de les téléverser à Microsoft
  • Les clients ayant choisi d’activer le partage des dumps de crash aident l’éditeur du pilote et Microsoft à identifier et résoudre les problèmes de qualité et les crashs

Peut-on déployer Windows dans un mode à sécurité renforcée ?

  • Windows peut être verrouillé à l’aide d’outils intégrés, et ses paramètres de sécurité par défaut sont continuellement renforcés
  • Dans Windows 11, des dizaines de nouvelles fonctions de sécurité sont activées par défaut
  • Les fonctions de sécurité intégrées incluent le démarrage sécurisé, le démarrage mesuré, l’intégrité de la mémoire, la liste de blocage des pilotes vulnérables, la protection de l’autorité de sécurité locale et Microsoft Defender Antivirus
  • Ces fonctions de sécurité fournissent des couches de protection contre les malwares et les tentatives d’exploitation sur les versions récentes de Windows
  • Les entreprises qui suivent les bonnes pratiques, comme l’exécution en tant qu’utilisateur standard et l’élévation de privilèges uniquement en cas de besoin, atténuent une grande partie des techniques MITRE ATT&CK

Plans à venir

  • Microsoft travaillera avec l’écosystème pour aider les fournisseurs d’antimalware à moderniser leur approche en s’appuyant sur les fonctions intégrées de Windows afin d’améliorer la sécurité et la stabilité
  • Des directives de déploiement sûr, de bonnes pratiques et des technologies seront fournies afin de rendre les mises à jour des produits de sécurité plus sûres
  • Réduire les cas où des pilotes noyau sont nécessaires pour accéder à des données de sécurité critiques
  • Fournir un isolement renforcé et des fonctions de protection contre les altérations avec des technologies comme VBS enclaves
  • Activer des approches zero trust, comme l’attestation d’intégrité matérielle, une méthode permettant de déterminer l’état de sécurité d’un appareil en fonction de l’état des fonctions de sécurité natives de Windows
  • Windows a annoncé son engagement envers le langage de programmation Rust dans le cadre de la Secure Future Initiative de Microsoft, et étend la prise en charge de Rust dans le noyau Windows
  • Les informations de ce billet de blog sont fournies dans le cadre de l’engagement visant à tirer les enseignements de l’incident CrowdStrike et à éclairer les prochaines étapes

À lire aussi

1 commentaires

 
GN⁺ 2024-07-29
Avis Hacker News

  • Microsoft prévoit de collaborer avec l’écosystème antimalware pour moderniser les logiciels de sécurité

    • Fournir des directives, des bonnes pratiques et des technologies pour effectuer les mises à jour en toute sécurité
    • Réduire la nécessité des pilotes kernel pour accéder aux données de sécurité critiques
    • Lister les fonctions exécutées en mode utilisateur afin de réduire ce qui tourne en mode kernel

  • Il semble qu’il faille attendre l’analyse de CrowdStrike

    • Cela explique pourquoi les logiciels de sécurité ont historiquement fonctionné en mode kernel
    • Microsoft pousse de nouvelles technologies pour amener les éditeurs de sécurité vers le mode utilisateur
    • CrowdStrike fonctionne déjà en mode utilisateur sur Mac et Linux
    • L’exécution en mode utilisateur sur Windows pourrait aussi réduire le risque d’erreurs fatales comme les écrans bleus
    • Si Windows avait écarté les éditeurs de sécurité du mode kernel comme Apple l’a fait, ce problème ne se serait probablement pas produit

  • L’absence de mention d’eBPF est notable

    • eBPF est standard sur Linux et également disponible sur Windows, mais n’a pas encore été adopté dans les principales versions de l’OS Windows
    • Une analyse statique aurait peut-être pu détecter le bug Blue Friday, mais cela offrirait un niveau de protection supérieur au modèle actuel des modules kernel

  • Il n’est pas surprenant que Microsoft soit lui-même un concurrent majeur de CrowdStrike

  • Cela a probablement été relu par les équipes marketing et juridiques

    • Il est important de choisir un OS/une distribution qui s’améliore à partir des leçons tirées de l’incident

  • L’alternative où seul Microsoft décide de ce que les utilisateurs peuvent faire est pire

    • Certaines personnes défendent le totalitarisme numérique

  • L’analyse technique, avec le déroulé du processus de debug et les liens vers les ressources, était bonne

    • On aimerait voir plus de rétrospectives de debug de ce genre

  • Ni Microsoft ni CrowdStrike n’expliquent dans leurs déclarations comment ce crash a échappé au QC

    • Il est difficile de comprendre comment un crash reproductible à 100 % n’a pas été détecté dès les premières étapes du QC

  • J’ai une expérience de recherche sur la Control Flow Integrity (CFI/XFI)

    • Il aurait été possible de sandboxer les modules kernel
    • Aujourd’hui, on peut compiler le code avec les bons flags pour exclure complètement les erreurs de sûreté mémoire
    • On pourrait transformer un BSOD en simple message de log poli et désactiver le pilote défectueux