Krótkie podsumowanie akcji z #crowdstrike z zeszłego tygodnia na podstawie wiarygodnych informacji znalezionych w internetach

1. Crowdstrike to firma amerykańska firma zajmująca się cyberbezpieczeństwem. Celują w rynek enterprise. Dostarczają własne sterowniki, które są wykonywane w Windows kernel mode.
   
2. Poza sterownikiem, częścią ich delivery są różne definicje wirusów, malware i cholera wie czego.
   
3. Problem spowodowała właśnie aktualizacja tych definicji, nie samego drivera. Otóż okazało się, że driver jest dość głupi i po prostu skanuje wybraną lokalizację w poszukiwaniu definicji. Jeśli znajdzie odpowiednie pliki, to próbuje je załadować. Nie jest jasne, jakie checki wykonuje przed załadowaniem, ale nie spodziewam się tutaj szału.
   
4. Plik z nowo dodaną definicją okazał się pusty, zawierał same zera. Nie zatrzymało to jednak drivera, który na jego podstawie najprawdopodobniej próbował wyliczyć jakiś adres. Oczywiście, nie miał szans zrobić tego poprawnie, dlatego ten adres był bezpośrednio z pupy - wartość, którą widziałem w jednym tłicie to 0xc9. A po wyliczeniu tego adresu, driver próbował się dobrać do pamięci pod nim. Nie mogło to się skończyć dobrze.
   

Side note - skoro adres nie był NULLem, czy innym None, Rustowe unwrap chyba raczej tutaj by nie pomogło (ale się nie znam, więc mogę się mylić).

5. Około 8500000 maszyn na całym świecie zostało dotkniętych tym problemem. Naprawa nie jest skomplikowana, ale wymaga *fizycznego* dostępu do każdej maszyny ( ͡º͜ʖ͡º)
   

Moje komentarze
- Wczytywanie plików na YOLO, bez odpowiedniej weryfikacji w kernel mode to nie tylko potężna luka bezpieczeństwa, ale objaw nieskończonej głupoty. Sam driver podobno był certyfikowany przez Microsoft, ale nie wiem na czym dokładnie taka certyfikacja polega i czy sprawdzali kod.
- Crowdstrike najprawdopodobniej zdecydował się zaimplementować mechanizm wczytywania różnych definicji z zewnętrznych plików, żeby ominąć konieczność certyfikacji drivera po każdym update. Taka przyjemność pewnie zajmuje trochę czasu i do najtańszych nie należy.
- Windows teoretycznie posiada mechanizm wywalania spartaczonych driverów. No ale posiada też coś takiego jak "boot install drivers" - drivery, które koniecznie muszą być załadowane, żeby system wstał. Oczywiście, Crowdstrike w swej mądrości oznaczył swój driver jako "boot install" xDDD
- Jedynym sensownym mechanizmem obrony przed takimi akcjami jest podział na dwie partycję - instalujemy update na partycji A i próbujemy się z niej zbootwać. Jeśli to się nie uda, bootujemy się z partycji B, która nie zawiera update.
- Podobno Microsoft zamiast dawać możliwość uruchamiania kodu 3rdparties w kernel mode, chciał udostępnić API związane z cyberbezpieczeństwem. Ale UE się wtrąciła, twierdząć że byłaby to praktyka monopolistyczna. Także xD

Moje pytania
- Dlaczego Crowdstrike wypuścił pusty plik?
- Dlaczego nie dodali żadnych sanity checków podczas ładowania plików, a potem Microsoft to przyklepał?
- Czy ten driver został poprawiony? Czy wrzucenie pustego pliku w odpowiednie miejsce na dysku nadal wywali cały system?

#programowanie #programista15k #pracait

O co dokładnie chodzi w Blue Screenach z ostatniej awarii i jak one w ogóle działają w Windowsie? O Kernel modzie, o tym, jak CrowdStrike wykorzystuje do niego dostęp itp. Lubię filmiki Dave'a , a może ktoś go nie zna jeszcze.

Nie wiem czy ktoś to już wrzucał, najwyżej Owcen skasuje dubla.
#windows #crowdstrike #komputery #bsod

https://www.barrons.com/articles/crowdstrike-insiders-sold-stock-cac5e509

#gielda #crowdstrike #ciekawostki #it

Co za shitshow był dziś w firmie z powodu #crowdstrike xD

Wszystkie serwery bazujące na windzie padły (łącznie z serwerami od DHCP, DNS, BitLocker, drukarek itp) jak i komputery z W10/W11

Kazdy juz wysyła skrin z reddita albo innego źródła aby usunąć pliki przez tryb awaryjny, ale niee, pan crowdstrike mówi żebyśmy sie wstrzymali, ale i tak dochodzi do punktu w ktorym mówią - tak, na kazdym urzadzeniu gdzie jest BSOD muszą zostać usuniete pliki - OK działamy aaaaale klucze do BitLockera są na serwerze który też jest offline xD

Dzięki pan crowdstrike, miał być spokojny weekend a już chujowo się zaczęło, ciekawie co bedzie w poniedziałek.

#zalesie

Gdzie w windows 10 ustawię "delay" updatów? Nie chodzi o jednorazowe wstrzymanie updat'ów, a o instalację wszystkiego z opóźnienie względem daty publikacji.
Taki trochę dupochron na wypadek wtopy m$ pokroju #crowdstrike ( ͡° ͜ʖ ͡°)

#windows #informatyka

Zgadnijcie kto na dziś miał zaplanowane podpisanie umowy o współpracę (i podpisał!) z bardzo ambitnym dystrybutorem #crowdstrike ?

no jak to kto? Ja.

Będzie z tego dużo pracy z tego co widzę

#informatyka #cyberbezpieczenstwo #cybersecurity #microsoft #praca

Doszły mnie słuchy że przewidywania Czarneckiego się sprawdziły i dzisiaj z samego rana pierwsi polscy ministrowie z nadania pisu, na czele z Sasinem, dołączyli do Microsoftu. Duma! #pdk

#polityka #jebacpis #bekazpisu #heheszki #microsoft #windows #crowdstrike

#humor #humorobrazkowy #informatyka #windows #microsoft #crowdstrike #chmura

Tymczasem w siedzibie #crowdstrike
#microsoft #heheszki #zajebanezwykopu

jak ja sie ciesze ze sprzedalem akcje Microsoftu 2 dni temu #gielda #crowdstrike

Czyli tak podsumowując, piątek popołudnie więc czas puścić fiksa na produkcję bez sprawdzenia czy działa i cyk weekend?
#heheszki #microsoft #crowdstrike

Crowdstrike elegancko zabezpieczył wszystkie systemy operacyjne windows na świecie, teraz na pewno nikt się do nich nie włamie #pdk

#windows #microsoft #linux #crowdstrike #technologia #it

Ale miałem czuja aby wziąć urlop 😎
#crowdstrike #windows

Czy ktoś może mi wyjaśnić na jakich maszynach instaluje się to Crowdstrike? Na serwerach (jakich), na desktopach?
#crowdstrike #awaria

#humor #humorobrazkowy #informatyka #windows #microsoft #crowdstrike #chmura