Sebuah pengakuan mengejutkan datang dari CrowdStrike, perusahaan keamanan siber yang baru-baru ini menjadi sorotan dunia akibat kesalahan fatal dalam pembaruan perangkat lunak Falcon Sensor-nya. Insiden yang berdampak pada jutaan perangkat Windows ini akhirnya terungkap penyebab utamanya.

Dalam laporan terbaru mereka, CrowdStrike menjabarkan bahwa akar masalah terletak pada sebuah kesalahan validasi konten yang muncul setelah mereka memperkenalkan “Template Type” baru untuk meningkatkan kemampuan deteksi terhadap teknik serangan terbaru yang memanfaatkan named pipes dan mekanisme interprocess communication (IPC) lainnya di Windows.

Penyebab terjadinya insiden crowdstrike

Kesalahan fatal terjadi ketika pembaruan konten yang salah dikirim melalui cloud. CrowdStrike menyebutnya sebagai “gabungan” dari beberapa kekurangan yang berujung pada crash sistem. Salah satu kesalahan paling mencolok adalah ketidakcocokan antara 21 input yang dikirim ke Content Validator melalui IPC Template Type dengan 20 input yang diberikan ke Content Interpreter.

Yang lebih mengejutkan, kesalahan ini lolos dari berbagai tahap pengujian. Salah satu alasannya adalah penggunaan kriteria pencocokan wildcard untuk input ke-21 selama pengujian dan dalam IPC Template Instances awal yang dikirim antara Maret dan April 2024.

Dengan kata lain, versi baru Channel File 291 yang dirilis pada 19 Juli 2024 adalah IPC Template Instance pertama yang menggunakan bidang parameter input ke-21. Karena tidak adanya kasus uji spesifik untuk kriteria pencocokan non-wildcard pada bidang ke-21, masalah ini tidak terdeteksi hingga Rapid Response Content dikirim ke sensor.

“Sensor yang menerima versi baru Channel File 291 yang membawa konten bermasalah terpapar pada masalah pembacaan di luar batas yang tersembunyi di Content Interpreter,” ungkap perusahaan.

“Pada notifikasi IPC berikutnya dari sistem operasi, IPC Template Instances baru dievaluasi, menentukan perbandingan terhadap nilai input ke-21. Content Interpreter hanya mengharapkan 20 nilai. Oleh karena itu, upaya untuk mengakses nilai ke-21 menghasilkan pembacaan memori di luar batas di luar akhir dari array data input dan mengakibatkan crash sistem.”

Tindakan perbaikan

Untuk mengatasi masalah ini, CrowdStrike melakukan beberapa langkah perbaikan. Pertama, mereka memvalidasi jumlah bidang input dalam Template Type pada saat kompilasi sensor. Kedua, mereka menambahkan pemeriksaan batas array input runtime ke Content Interpreter untuk mencegah pembacaan memori di luar batas. Terakhir, mereka memperbaiki jumlah input yang disediakan oleh IPC Template Type.

“Pemeriksaan batas tambahan mencegah Content Interpreter melakukan akses di luar batas array input dan menghancurkan sistem,” jelasnya. “Pemeriksaan tambahan menambahkan lapisan validasi runtime ekstra bahwa ukuran array input sesuai dengan jumlah input yang diharapkan oleh Rapid Response Content.”

Selain itu, CrowdStrike juga meningkatkan cakupan pengujian selama pengembangan Template Type untuk menyertakan kasus uji untuk kriteria pencocokan non-wildcard untuk setiap bidang di semua Template Type (masa depan).

Beberapa pembaruan sensor juga diharapkan menyelesaikan celah berikut:

• Content Validator dimodifikasi untuk menambahkan pemeriksaan baru untuk memastikan bahwa konten dalam Template Instances tidak termasuk kriteria pencocokan yang cocok lebih dari bidang yang disediakan sebagai input ke Content Interpreter.
• Content Validator dimodifikasi untuk hanya mengizinkan kriteria pencocokan wildcard di bidang ke-21, yang mencegah akses di luar batas pada sensor yang hanya menyediakan 20 input.
• Sistem Konfigurasi Konten telah diperbarui dengan prosedur pengujian baru untuk memastikan bahwa setiap Template Instance baru diuji, terlepas dari fakta bahwa Template Instance awal diuji dengan Template Type pada saat pembuatan.
• Sistem Konfigurasi Konten telah diperbarui dengan lapisan dan pemeriksaan penerimaan penyebaran tambahan.
• Platform Falcon telah diperbarui untuk memberikan pelanggan kontrol yang lebih besar atas pengiriman Rapid Response Content.

Tak berhenti di situ, CrowdStrike juga melibatkan dua vendor keamanan perangkat lunak pihak ketiga independen untuk melakukan peninjauan lebih lanjut terhadap kode sensor Falcon untuk keamanan dan jaminan kualitas. Mereka juga melakukan peninjauan independen terhadap proses kualitas ujung ke ujung dari pengembangan hingga penyebaran.

Perusahaan juga berjanji untuk bekerja sama dengan Microsoft ketika Windows memperkenalkan cara baru untuk menjalankan fungsi keamanan di ruang pengguna daripada bergantung pada driver kernel.

“Driver kernel CrowdStrike dimuat dari fase awal booting sistem untuk memungkinkan sensor mengamati dan mempertahankan sistem terhadap malware yang diluncurkan sebelum proses mode pengguna dimulai,” katanya.

“Menyediakan konten keamanan terbaru (misalnya, Rapid Response Content CrowdStrike) untuk kemampuan kernel ini memungkinkan sensor mempertahankan sistem terhadap lanskap ancaman yang berkembang pesat tanpa melakukan perubahan pada kode kernel. Rapid Response Content adalah data konfigurasi; itu bukan kode atau driver kernel.”

Pengungkapan penyebab utama ini muncul setelah Delta Air Lines menyatakan bahwa mereka tidak punya pilihan selain menuntut CrowdStrike dan Microsoft atas gangguan besar dan biaya tambahan sekitar $500 juta terkait dengan ribuan penerbangan yang dibatalkan.

Baik CrowdStrike maupun Microsoft telah menanggapi kritik tersebut, menyatakan bahwa mereka tidak bertanggung jawab atas pemadaman yang berlangsung selama berhari-hari dan bahwa Delta menolak tawaran bantuan mereka di lokasi, menunjukkan bahwa masalah pembawa bisa berjalan jauh lebih dalam daripada mesin Windows mereka yang mati akibat pembaruan keamanan yang salah.

CrowdStrike telah menolak klaim bahwa sensor Falcon-nya rentan terhadap peningkatan hak istimewa atau eksekusi kode jarak jauh, menyatakan bahwa pembacaan memori di luar batas (OOB) tidak menyediakan “mekanisme untuk menulis ke alamat memori arbitrer atau mengontrol eksekusi program — bahkan dalam kondisi ideal di mana penyerang dapat mempengaruhi memori kernel sehingga alamat di luar batas yang dibaca sepenuhnya dikontrol.”

Pernyataan tersebut menanggapi laporan dari perusahaan riset keamanan China Qihoo 360 yang menyatakan bahwa bug sensor yang menghancurkan jutaan komputer Windows dapat dimanfaatkan untuk peningkatan hak istimewa dan eksekusi kode jarak jauh.

“Tidak ada jalur yang mengarah ke kerusakan memori tambahan atau kontrol eksekusi program,” kata Adam Meyers, menambahkan bahwa perusahaan telah “menerapkan beberapa lapisan perlindungan untuk mencegah perusakan file saluran,” seperti penjepitan sertifikat, validasi checksum, daftar kontrol akses (ACL) pada file saluran, dan deteksi anti-perusakan.

“Bug pembacaan di luar batas, meskipun merupakan masalah serius yang telah kami atasi, tidak memberikan jalur untuk penulisan memori arbitrer atau kontrol eksekusi program. Ini secara signifikan membatasi potensinya untuk eksploitasi.”