Вышел официальный пост о причинах BSODStrike.
🔻 Хосты ломало обновление Rapid Response Content. Это интерпретируемый бинарь с конфигурационными данными ("поведенческими эвристиками"). Это не код и не драйвер ядра. Эти обновления инициировал сам вендор "at operational speed".
🔻 В посте масса подробностей по устройству CrowdStrike Falcon. Суть же в том, что при подготовке контента валидатор работал неправильно: "Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data." При интерпретации контента на хосте возникала ошибка out-of-bounds memory read и BSOD.
🔻 Обновление катали 19 июля с 04:09 UTC по 05:27 UTC на Windows хосты с сенсорами версии 7.11, которые были в онлайне.
В общем, всё как в моих предыдущих постах про вендоров облачных сервисов и безусловное доверие к обновлениям контента. Вендор пушил обновление контента из облака по собственному усмотрению и умудрился ушатать хосты. 🤷♂️
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился? | Александр В. Леонов
Уведомление: No Boot - No Hacker! | Александр В. Леонов