Microsoft का CrowdStrike घटना का तकनीकी विश्लेषण

 (microsoft.com)
1 पॉइंट द्वारा GN⁺ 2024-07-29 | 1 टिप्पणियां | WhatsApp पर शेयर करें

CrowdStrike आउटेज घटना का तकनीकी विश्लेषण

  • CSagent ड्राइवर की memory safety समस्या, खास तौर पर read range से बाहर access violation, इसका मूल कारण था
  • विश्लेषण Microsoft के WinDBG kernel debugger और मुफ्त में उपलब्ध कई extensions का उपयोग करके किया गया

CSagent.sys ड्राइवर का कार्य

  • CSagent.sys मॉड्यूल anti-malware agent में आम तौर पर उपयोग होने वाले file system filter driver के रूप में registered है
  • इसका उपयोग file create या modify जैसी file operations के notifications प्राप्त करने के लिए किया जाता है
  • जब भी browser के जरिए file download जैसे किसी तरीके से disk पर नई file save होती है, तब security product उसे scan करने के लिए इसका उपयोग करते हैं
  • इसे system behavior को monitor करने की कोशिश करने वाले security solutions के signal के रूप में भी उपयोग किया जा सकता है
  • CrowdStrike ने बताया कि content update का एक हिस्सा sensor की named pipe creation से जुड़ी logic में बदलाव था
  • file system filter driver API ड्राइवर को system में named pipe activity (जैसे named pipe creation) होने पर calls प्राप्त करने देता है, जिससे malicious behavior detection संभव होता है

CrowdStrike के विभिन्न ड्राइवर मॉड्यूल

  • CrowdStrike, CSBoot, CSDeviceControl, CSAgent और CSFirmwareAnalysis नाम के 4 driver modules load करता है
  • इनमें से एक CrowdStrike की post-incident review timeline के अनुसार dynamic control और content updates बार-बार प्राप्त करता है

CrowdStrike ड्राइवर से संबंधित crash reports की संख्या में बदलाव

  • इस खास CrowdStrike programming error के कारण बने Windows crash reports की संख्या की पहचान की गई
  • crash reports बनाने वाले devices की संख्या, Microsoft द्वारा पिछले blog post में साझा किए गए प्रभावित devices की संख्या से कम है
  • इसका कारण यह है कि crash reports sampling के आधार पर लिए जाते हैं और केवल उन्हीं customers से एकत्र किए जाते हैं जिन्होंने crash reports को Microsoft पर upload करने का विकल्प चुना है
  • जिन customers ने crash dump sharing को enable करने का विकल्प चुना, वे driver vendors और Microsoft को quality issues और crashes की पहचान और समाधान में मदद करते हैं

क्या Windows को उच्च security mode में deploy किया जा सकता है?

  • Windows को integrated tools का उपयोग करके lock down किया जा सकता है, और यह लगातार security defaults को ऊंचा कर रहा है
  • Windows 11 में default रूप से दर्जनों नए security features enabled हैं
  • integrated security features में Secure Boot, Measured Boot, Memory Integrity, Vulnerable Driver Blocklist, Local Security Authority protection, Microsoft Defender Antivirus आदि शामिल हैं
  • ये security features modern Windows में malware और exploit attempts के खिलाफ protection layers प्रदान करते हैं
  • जो कंपनियां standard user के रूप में run करने और केवल जरूरत पड़ने पर privilege escalation करने जैसी best practices का पालन करती हैं, वे MITRE ATT&CK techniques के बड़े हिस्से को mitigate करती हैं

आगे की योजना

  • Microsoft ecosystem के साथ मिलकर anti-malware vendors की मदद करेगा ताकि वे Windows की integrated capabilities का उपयोग करके अपने approach को modernize करें और security व stability बढ़ाएं
  • safe rollout guidance, best practices और technologies देकर security product updates को अधिक सुरक्षित तरीके से लागू करने में मदद की जाएगी
  • critical security data तक पहुंच के लिए kernel drivers की आवश्यकता वाले मामलों को कम किया जाएगा
  • VBS enclaves जैसी technologies के जरिए बेहतर isolation और tamper protection प्रदान किया जाएगा
  • zero trust approaches को enable किया जाएगा, जैसे high-integrity attestation, जो device की security state को Windows के built-in security features की स्थिति के आधार पर निर्धारित करने का एक तरीका है
  • Windows ने Microsoft की Secure Future Initiative के हिस्से के रूप में Rust programming language के प्रति अपनी प्रतिबद्धता की घोषणा की है, और Windows kernel में Rust support का विस्तार कर रहा है
  • CrowdStrike घटना के बाद सीखे गए सबक और अगले कदमों को साझा करने की प्रतिबद्धता के हिस्से के रूप में यह blog post जानकारी प्रदान करता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-29
Hacker News राय

  • Microsoft सुरक्षा सॉफ़्टवेयर के आधुनिकीकरण के लिए anti-malware ecosystem के साथ सहयोग करने की योजना बना रहा है

    • अपडेट को सुरक्षित रूप से लागू करने के लिए guidelines, best practices और technologies प्रदान करेगा
    • महत्वपूर्ण security data तक पहुंच के लिए kernel driver की आवश्यकता को कम करेगा
    • user mode में चलने वाली सुविधाओं की सूची बनाकर kernel mode में चलने वाली चीज़ों को कम करना चाहता है

  • लगता है कि CrowdStrike के विश्लेषण का इंतज़ार करना चाहिए

    • यह बताता है कि security software ऐतिहासिक रूप से kernel mode में क्यों चलता रहा है
    • Microsoft security vendors को user mode में ले जाने के लिए नई technologies को आगे बढ़ा रहा है
    • CrowdStrike पहले से ही Mac और Linux पर user mode में चल रहा है
    • Windows पर भी user mode में चलने से blue screen जैसी घातक त्रुटियों का जोखिम कम हो सकता है
    • अगर Windows ने भी Apple की तरह security vendors को kernel mode से बाहर कर दिया होता, तो शायद यह समस्या नहीं होती

  • यह उल्लेखनीय है कि eBPF का कोई ज़िक्र नहीं है

    • eBPF Linux में standard है और Windows पर भी उपलब्ध है, लेकिन अभी तक मुख्य Windows OS में अपनाया नहीं गया है
    • static analysis शायद Blue Friday bug को पकड़ सकती थी, लेकिन यह मौजूदा kernel module model की तुलना में सुरक्षा का स्तर बढ़ाती

  • यह आश्चर्यजनक नहीं है कि Microsoft खुद CrowdStrike का एक प्रमुख competitor है

  • इसे marketing और legal विभागों की समीक्षा से गुजारा गया होगा

    • इस घटना से सीखे गए सबक के आधार पर सुधार करने वाले OS/distribution को चुनना महत्वपूर्ण है

  • केवल Microsoft ही यह तय करे कि उपयोगकर्ता क्या कर सकते हैं, यह विकल्प और भी बुरा है

    • कुछ लोग digital totalitarianism का समर्थन करते हैं

  • debug process का flow और resource links शामिल करने वाला यह technical analysis अच्छा था

    • काश और debug retrospectives भी ऐसे होते

  • न तो MS और न ही CrowdStrike के बयान में यह बताया गया है कि यह crash QC को कैसे bypass कर गया

    • यह समझना मुश्किल है कि 100% reproducible crash QC के शुरुआती चरण में पकड़ा क्यों नहीं गया

  • मुझे Control Flow Integrity (CFI/XFI) research का अनुभव है

    • kernel modules को sandbox करना संभव था
    • अब उचित flags के साथ code compile करके memory safety errors को पूरी तरह बाहर किया जा सकता है
    • BSOD को एक विनम्र log message में बदला जा सकता है और दोषपूर्ण driver को disable किया जा सकता है