อธิบายปัญหา Crowdstrike
หลายๆ คนอาจจะสับสนว่าปัญหาของ CrowdStrike คืออะไร ทำไมถึงเกิด วันนี้เลยมาเล่าให้ฟังกันสั้นๆ
เบื้องต้นคือ CrowdStrike เป็นผู้ให้บริการระบบรักษาความปลอดภัยไซเบอร์ที่เรียกว่า EDR หรือ Endpoint Detection and Response ที่ตรวจจับพฤติกรรมที่ผิดปกติ และพยายามป้องกันปัญหาอย่างทันท่วงที บริษัทมีผลิตภัณฑ์ที่ชื่อว่า Falcon Sensor ที่ทำงานในระดับ kernel เพื่อตรวจจับ kernel call และวิเคราะห์ตรวจจับพฤติกรรมที่ผิดปกติ ซึ่งการอัพเดทตัวเองจาก cloud ตลอดเวลา เพื่อให้ทันกับการโจมตีแบบ 0-day ได้
Falcon Sensor นี้อาศัย channel files ที่เป็นเหมือนฐานข้อมูลของ sensor ต่างๆ และ channel file C-00000291*.sys นี้เองเป็นสิ่งที่ถูกอัพเดทจาก cloud ตั้งแต่ 4:09 UTC เพื่อพยายามตรวจจับการโจมตีผ่าน named pipe ของ framework ที่ชื่อว่า C2 แต่ไฟล์เหล่านั้นกลับมีข้อมูลที่ผิดพลาด จนทำให้ Falcon Sensor มีปัญหาในการทำงาน
ซึ่งเบื้องต้นดูเหมือนว่า มันจะทำให้โค้ดดังกล่าวดึงข้อมูลมาเป็น NULL และพอมันไปพยายามดึงค่าที่ offset 9C จากตำแหน่ง NULL ทำให้มันพยายามดึงข้อมูลในส่วนที่ Windows ไม่อนุญาตให้เข้าถึง ระบบจึงหยุดการทำงาน และเนื่องจาก sensor ดังกล่าวทำงานในระดับ kernel มันจึงทำให้เกิด BSOD หรือจอฟ้าขึ้นนั่นเอง
สำหรับเครื่องที่ไม่ได้รับผลกระทบ ทาง CrowdStrike ได้ออกตัวแก้ไขออกมาในเวลา 05:27 UTC ก็จะยังทำงานได้ตามปกติ
ส่วนเครื่องที่มีปัญหาไปแล้วก็อาจจะต้องมีขั้นตอนพิเศษในการกอบกู้เครื่องกลับขึ้นมาตามที่รายงานไปก่อนหน้าแล้ว และสามารถอ่านรายละเอียดตามลิงก์ข้างล่างได้ครับ
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
