CrowdStrike อธิบายสาเหตุของปัญหาอัพเดตแล้วทำระบบวินโดวส์ล่มทั่วโลกเมื่อวานนี้
ปัญหานี้เกิดกับ Falcon Sensor ซึ่งเป็นผลิตภัณฑ์หลักของบริษัท CrowdStrike ตัวมันเองทำหน้าที่เป็น agent คอยเฝ้าระวังความปลอดภัยตลอดการทำงานของเครื่อง (Falcon เป็น agent ตัวเดียวรับจบทั้งช่องโหว่ ไวรัส มัลแวร์ ฯลฯ) โดย Falcon จะถูกควบคุมโดยไฟล์คอนฟิกที่เรียกว่า Channel Files ที่คอยอัพเดตตามมัลแวร์ตัวใหม่ๆ และมีอัพเดตอัตโนมัติวันละหลายครั้ง
ปัญหาที่เกิดขึ้นมาจากไฟล์คอนฟิกเวอร์ชัน 291 (ชื่อไฟล์ขึ้นต้นด้วย “C-00000291-” นามสกุล .sys) ที่ตั้งใจอัพเดตเพื่อรับมือการทำงานของมัลแวร์ตัวใหม่ เกิดมี logic ที่ผิดพลาด และส่งผลกระทบให้ระบบสื่อสารภายใน (named pipe) ของ Windows ล่มตามไปด้วย เกิดปัญหาจอฟ้าแบบที่เราเจอกัน (และเป็นเหตุผลว่าทำไมวิธีแก้ชั่วคราวหรือ workaround คือการบูตเข้า safe mode ไปลบไฟล์นี้ออก)
ตัวไฟล์คอนฟิกเวอร์ชัน 291 ถูกอัพเดตไปยังเครื่องที่เป็นแมคและลินุกซ์ด้วยเช่นกัน แต่เนื่องจากสถาปัตยกรรมคนละแบบจึงไม่ได้รับผลกระทบ
หลังเกิดปัญหา CrowdStrike ได้ออกอัพเดตไฟล์คอนฟิก 291 ใหม่ โดยตัดส่วน logic ที่มีปัญหาออกแล้ว ส่วนเหตุผลว่าทำไมบริษัทถึงปล่อยให้ไฟล์ที่มี logic ผิดพลาดออกมาได้ ยังอยู่ระหว่างการสอบสวนต่อไป
ที่มา - CrowdStrike
Topics:
CrowdStrike
Bug
Security
Continue reading...
ปัญหานี้เกิดกับ Falcon Sensor ซึ่งเป็นผลิตภัณฑ์หลักของบริษัท CrowdStrike ตัวมันเองทำหน้าที่เป็น agent คอยเฝ้าระวังความปลอดภัยตลอดการทำงานของเครื่อง (Falcon เป็น agent ตัวเดียวรับจบทั้งช่องโหว่ ไวรัส มัลแวร์ ฯลฯ) โดย Falcon จะถูกควบคุมโดยไฟล์คอนฟิกที่เรียกว่า Channel Files ที่คอยอัพเดตตามมัลแวร์ตัวใหม่ๆ และมีอัพเดตอัตโนมัติวันละหลายครั้ง
ปัญหาที่เกิดขึ้นมาจากไฟล์คอนฟิกเวอร์ชัน 291 (ชื่อไฟล์ขึ้นต้นด้วย “C-00000291-” นามสกุล .sys) ที่ตั้งใจอัพเดตเพื่อรับมือการทำงานของมัลแวร์ตัวใหม่ เกิดมี logic ที่ผิดพลาด และส่งผลกระทบให้ระบบสื่อสารภายใน (named pipe) ของ Windows ล่มตามไปด้วย เกิดปัญหาจอฟ้าแบบที่เราเจอกัน (และเป็นเหตุผลว่าทำไมวิธีแก้ชั่วคราวหรือ workaround คือการบูตเข้า safe mode ไปลบไฟล์นี้ออก)
ตัวไฟล์คอนฟิกเวอร์ชัน 291 ถูกอัพเดตไปยังเครื่องที่เป็นแมคและลินุกซ์ด้วยเช่นกัน แต่เนื่องจากสถาปัตยกรรมคนละแบบจึงไม่ได้รับผลกระทบ
หลังเกิดปัญหา CrowdStrike ได้ออกอัพเดตไฟล์คอนฟิก 291 ใหม่ โดยตัดส่วน logic ที่มีปัญหาออกแล้ว ส่วนเหตุผลว่าทำไมบริษัทถึงปล่อยให้ไฟล์ที่มี logic ผิดพลาดออกมาได้ ยังอยู่ระหว่างการสอบสวนต่อไป
ที่มา - CrowdStrike
Topics:
CrowdStrike
Bug
Security
Continue reading...
