Análisis técnico de Microsoft sobre el incidente de CrowdStrike

 (microsoft.com)
1 puntos por GN⁺ 2024-07-29 | 1 comentarios | Compartir por WhatsApp

Análisis técnico del apagón de CrowdStrike

  • El problema de seguridad de memoria del controlador CSagent, en particular una violación de acceso por leer fuera del rango, fue la causa raíz
  • El análisis se realizó utilizando el depurador de kernel WinDBG de Microsoft y varias extensiones disponibles gratuitamente

Función del controlador CSagent.sys

  • El módulo CSagent.sys está registrado como un controlador de filtro del sistema de archivos, comúnmente usado en agentes antimalware
  • Se utiliza para recibir notificaciones sobre operaciones de archivos, como la creación o modificación de archivos
  • Los productos de seguridad lo usan para escanear cada vez que se guarda un archivo nuevo en disco, como cuando se descarga un archivo desde el navegador
  • También puede usarse como señal para soluciones de seguridad que buscan monitorear el comportamiento del sistema
  • CrowdStrike explicó que parte de la actualización de contenido fue un cambio en la lógica relacionada con la creación de named pipes del sensor
  • La API de controladores de filtro del sistema de archivos permite que el controlador reciba llamadas cuando ocurre actividad de named pipes en el sistema (por ejemplo, la creación de un named pipe), lo que permite detectar comportamientos maliciosos

Varios módulos de controladores de CrowdStrike

  • CrowdStrike carga cuatro módulos de controlador: CSBoot, CSDeviceControl, CSAgent y CSFirmwareAnalysis
  • Uno de ellos recibe con frecuencia actualizaciones dinámicas de control y de contenido, según la línea de tiempo de revisión posterior al incidente de CrowdStrike

Cambios en la cantidad de reportes de fallos relacionados con el controlador de CrowdStrike

  • Se identificó la cantidad de reportes de fallos de Windows generados por este error de programación específico de CrowdStrike
  • La cantidad de dispositivos que generaron reportes de fallos es menor que la cantidad de dispositivos afectados que Microsoft compartió en una publicación anterior del blog
  • Esto se debe a que los reportes de fallos se toman por muestreo y solo se recopilan de clientes que eligieron subirlos a Microsoft
  • Los clientes que optan por habilitar el envío de volcados de fallos ayudan al proveedor del controlador y a Microsoft a identificar y resolver problemas de calidad y fallos

¿Es posible desplegar Windows en un modo de alta seguridad?

  • Windows puede reforzarse con herramientas integradas y sigue elevando continuamente sus valores predeterminados de seguridad
  • En Windows 11, decenas de nuevas funciones de seguridad están activadas por defecto
  • Entre las funciones de seguridad integradas están Secure Boot, Measured Boot, integridad de memoria, lista de bloqueo de controladores vulnerables, protección de Local Security Authority y Microsoft Defender Antivirus, entre otras
  • Estas funciones de seguridad proporcionan capas de protección contra malware e intentos de exploit en las versiones modernas de Windows
  • Las empresas que siguen buenas prácticas, como operar con usuarios estándar y elevar privilegios solo cuando es necesario, mitigan gran parte de las técnicas de MITRE ATT&CK

Planes a futuro

  • Microsoft colaborará con el ecosistema para ayudar a los proveedores antimalware a modernizar su enfoque aprovechando las capacidades integradas de Windows y así mejorar la seguridad y la estabilidad
  • Proporcionará lineamientos de despliegue seguro, buenas prácticas y tecnologías para hacer más seguras las actualizaciones de productos de seguridad
  • Reducirá los casos en los que se requieren controladores de kernel para acceder a datos de seguridad importantes
  • Ofrecerá mejor aislamiento y resistencia a manipulaciones con tecnologías como los enclaves VBS
  • Habilitará enfoques de zero trust, como la atestación de alta integridad, un método para determinar el estado de seguridad de un dispositivo según el estado de las funciones de seguridad predeterminadas de Windows
  • Como parte de la Secure Future Initiative de Microsoft, Windows anunció su compromiso con el lenguaje de programación Rust y está ampliando el soporte de Rust en el kernel de Windows
  • Esta publicación del blog ofrece esta información como parte del compromiso de informar lo aprendido del incidente de CrowdStrike y los próximos pasos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-29
Opiniones de Hacker News

  • Microsoft planea colaborar con el ecosistema antimalware para modernizar el software de seguridad

    • Proporcionará lineamientos, mejores prácticas y tecnologías para realizar actualizaciones de forma segura
    • Reducirá la necesidad de controladores de kernel para acceder a datos de seguridad importantes
    • Busca enumerar las funciones que se ejecutan en modo usuario para reducir lo que corre en modo kernel

  • Parece que habrá que esperar el análisis de CrowdStrike

    • Explica por qué históricamente el software de seguridad se ha ejecutado en modo kernel
    • Microsoft está impulsando nuevas tecnologías para que los proveedores de seguridad migren al modo usuario
    • CrowdStrike ya se ejecuta en modo usuario en Mac y Linux
    • Ejecutarse en modo usuario también en Windows podría reducir el riesgo de errores fatales como la pantalla azul
    • Si Windows hubiera sacado a los proveedores de seguridad del modo kernel, como hizo Apple, este problema no habría ocurrido

  • Llama la atención que no haya ninguna mención de eBPF

    • eBPF es el estándar en Linux y también puede usarse en Windows, pero todavía no se ha incorporado a las versiones principales de Windows OS
    • El análisis estático quizá habría podido detectar el bug de Blue Friday, pero aun así elevaría el nivel de protección frente al modelo actual de módulos de kernel

  • No sorprende que Microsoft mismo sea un competidor importante de CrowdStrike

  • Seguramente pasó por revisión de los equipos de marketing y legal

    • Es importante elegir un OS/distribución que mejore a partir de lo aprendido en el incidente

  • La alternativa, en la que solo Microsoft decide lo que los usuarios pueden hacer, es peor

    • Hay personas que defienden el totalitarismo digital

  • Fue bueno ver un análisis técnico con el flujo del proceso de depuración y enlaces a recursos

    • Ojalá hubiera más retrospectivas de depuración así

  • Ni en el comunicado de MS ni en el de CrowdStrike se explica cómo este choque eludió el QC

    • No se entiende cómo un fallo 100% reproducible no fue detectado en una etapa temprana del QC

  • Tengo experiencia en investigación de Control Flow Integrity (CFI/XFI)

    • Era posible aislar en sandbox los módulos de kernel
    • Hoy en día se puede compilar código con las banderas adecuadas para excluir por completo errores de seguridad de memoria
    • Se podría convertir un BSOD en un mensaje de registro cortés y desactivar el controlador defectuoso