CrowdStrikeのCSAgent.sysクラッシュ原因の初期詳細

Hacker Newsの意見

• 1つ目の意見

  • BSOD問題は、不正なバイナリデータと不適切に書かれたパーサの組み合わせが原因
  • 過去10年の経験では、ほとんどのCVE、クラッシュ、バグ、性能低下の問題は、バイナリデータを機械が読めるデータ構造にデシリアライズする過程で発生する
  • これは圧縮アルゴリズム、フォントアウトラインリーダー、画像/動画/音声パーサ、ビデオゲームデータパーサ、XML/HTMLパーサ、OpenSSLの証明書/署名/鍵パーサなど、さまざまな分野に当てはまる
  • CrowdStrikeのEDRプログラムのコンテンツパーサも例外ではない

• 2つ目の意見

  • ルートキットベースのエンドポイント監視ソフトウェアの代わりに、オープンソースのソリューションのほうがより倫理的かもしれない
  • オープンソースツールは透明に動作し、バックドアや重大なバグがないことを保証できる
  • 公開監査が可能であり、セキュリティチームがマルウェアシグネチャを供給するビジネスモデルで運営できる

• 3つ目の意見

  • MicrosoftにはCrowdStrikeの大規模障害に対する責任がある
  • Microsoftはワークステーションコンピューティング分野で事実上の独占的地位を占めており、製品のセキュリティ/信頼性/機能を保証する義務がある
  • 競争がないため、Windowsのイノベーションは遅れている
  • 例えば、CrowdStrikeはmacOSとLinuxではユーザー空間で動作するが、Windowsではそうではない
  • アプリケーションサンドボックス化の革新が必要
  • Microsoftは世界のコンピューティングインフラの鍵を握っているが、ほとんど監視されていない
  • Windowsの収益比率は低下したが、重要なインフラを動かす製品である以上、より大きな責任が求められる
  • 政府はデスクトップワークスペース市場での競争を促進するか、MicrosoftのWindows製品を規制すべき

• 4つ目の意見

  • なぜ影響範囲があれほど大きかったのか理解できない
  • 重要なサービスでは、自動監視とロールバック機能を備えた段階的なデプロイが一般的
  • ベータ段階で顧客トラフィックなしにデプロイし、問題がなければ段階的に拡大する方式が一般的
  • このような方式なら問題を即座に止められたはず

• 5つ目の意見

  • CrowdStrikeは使っていないが、CSドライバは先にインストールされ、削除できないよう設計されているように見える
  • ドライバが署名されていないデータファイルを読み込み、ユーザーが任意に削除できる
  • 悪意あるユーザーが悪性データファイルを作成して、ドライバを誤動作させる可能性がある
  • カーネル権限を取得されるリスクがある

• 6つ目の意見

  • テストデプロイで問題を発見できなかった理由が気になる
  • デプロイ前にテストしていなかったとは信じがたい
  • どの企業もデプロイ前にテスト環境を備えるべき
  • 開発中に失敗したり問題を起こすパッケージをインストールするのはよくあることだが、それをそのまま本番環境にデプロイするのは望ましくない

• 7つ目の意見

  • CrowdStrikeの顧客が更新について意見を述べられるのか気になる
  • すべての顧客がCrowdStrikeに完全なリモートコード実行権限を与えているのか疑問
  • 認証機関や暗号化の専門家が、このような更新をシステム上でブロックできるようになってほしい

• 8つ目の意見

  • 「チャネルファイル」がCSドライバによって署名・検証されているのか気になる
  • そうでなければ、これはルートキットにとって大きな脆弱性になり得る
  • 高権限で実行される入力は、少なくとも完全性検査を受けるべき
  • チャネルファイルを単純に削除できるということは、耐タンパー機構がないことを示唆している