CrowdStrike ออก Preliminary Post Incident Review (PIR) เพื่ออธิบายว่าเกิดอะไรขึ้น
เบื้องต้น CrowdStrike อธิบายว่า การอัพเดทผลิตภัณฑ์ Falcon Sensor มีด้วยกันสองประเภท
ประเภทแรก คือ Sensor Content ซึ่งเป็นโค้ดที่เขียนขึ้นมาโดยเฉพาะที่ได้รับการปรับแต่งให้ทำงานได้เร็ว และสามารถนำกลับมาใช้ได้ในหลายๆ ที่ ในระยะยาว รวมทั้งส่วนที่เป็น AI และ Machine Learning Model ซึ่งเซนเซอร์เหล่านี้จะไม่ได้รับการอัพเดทจาก cloud โดยอัตโนมัติ แต่จะเป็นการออกเวอร์ชั่นใหม่ตามรอบของการออกผลิตภัณฑ์
และประเภทหลัง คือ Rapid Response Content ซึ่งเป็นการตอบสนองต่อภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว โดยอาศัยความเร็วในการดำเนินการ Rapid Response Content เป็นข้อมูลจับคู่รูปแบบ (pattern matching) พฤติกรรมต่างๆ บนเซ็นเซอร์โดยใช้เอ็นจิ้นที่ได้รับการปรับไปตามค่าที่ระบุไว้ในไฟล์ไบนารีเฉพาะซึ่งประกอบด้วยข้อมูลการกำหนดค่า ไม่ใช่โค้ดหรือไดรเวอร์เคอร์เนลแต่อย่างใด
ซึ่งตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา ทาง CrowdStrike ได้ออก sensor version 7.11 เพิ่ม template ประเภทใหม่ที่ชื่อ IPC Template Type เพื่อเพิ่มความสามารถในการตรวจจับพฤติกรรมผิดปกติผ่านที่เกี่ยวข้องกับ named pipe และได้มีการทดสอบภายในอย่างเข้มข้นในเดือนมีนาคมว่าสามารถทำงานได้ตามปกติ และไม่มีปัญหา
แต่ในวันที่ 19 กรกฎาคม ทางทีมได้ออก Rapid Response Content ใหม่ที่มี Template ประเภท IPC ใหม่สองรายการ ซึ่งบังเอิญว่าหนึ่งในนั้นมีข้อผิดพลาด แต่ระบบตรวจสอบข้อมูล (Content Validator) กลับตรวจไม่พบความผิดพลาดดังกล่าว จึงทำให้เมื่อ engine ทำงานตาม template ที่ผิดพลาดนี้ก็จะทำให้เกิดการเข้าถึงหน่วยความจำนอกขอบเขต (out of bound memory access) ขึ้น ส่งผลทำให้เกิดความผิดพลาดในการทำงาน และทำให้เกิดจอฟ้าอย่างที่เกิดขึ้น
ซึ่งทางทีมจะไปแก้ไขกระบวนการทดสอบให้ดีขึ้น และแก้ระบบตรวจสอบข้อมูลให้ทำงานให้ถูกต้องตามที่ออกแบบไว้ รวมไปถึงการอัพเดทแบบค่อยเป็นค่อยไป และเพิ่มจุดปรับแต่งให้ลูกค้าสามารถควบคุมความเร็วในการอัพเดทได้ดีขึ้น
สรุปสั้นๆ คือ ระบบการทดสอบผิดพลาด ทำให้ตรวจสอบความผิดพลาดของไฟล์ได้ไม่ดี และก็ไม่ได้ทดสอบให้ดีว่า Rapid Response Content ทำงานได้ ก็เลย "เละ" อย่างที่เห็น และ “พลาด” อย่างที่เดา
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
