Tijdens een hoorzitting van het Amerikaanse Congres legde CrowdStrike opnieuw uit hoe de IT-storing van 19 juli kon gebeuren. Het bedrijf stelt dat het gebruik móét maken van kernel mode, want anders slaan cyberaanvallers ongezien toe.
Een technische uitleg heeft CrowdStrike al anderhalve maand beschikbaar. De hoorzitting van het Amerikaanse Huis van Afgevaardigden bedient echter een geheel ander publiek. “Bij CrowdStrike is het onze visie om goede mensen te beschermen tegen slechte zaken, en daar zijn we heel succesvol in geweest voor meer dan een decennium.”
Helderder kan het niet. Ondanks deze jaren aan content updates, waarvan er tusssen de tien en twaalf per dag verschijnen, zit een ongeluk in een klein hoekje. De fout was minimaal, maar basaal. 20 inputs tegenover 21 inputvelden leverden 8,5 miljoen uitgevallen Windows-machines op. De systemen binnen CrowdStrike Falcon die zoiets hadden op moeten vangen, werkten niet naar behoren. Het was in de bewoording van Adam Meyers, SVP Counter Adversary Operations bij CrowdStrike, een “perfect storm”. Hij vergeleek de fout met het bewegen van een schaakstuk naar een veld dat niet op het schaakbord bestaat.
Kernel level-toegang nodig
Normaliter zorgt een dergelijke fout niet voor een Windows-crash. Echter opereert de CrowdStrike Falcon-sensor op kernel-niveau, waardoor een enkel foutje een Blue Screen of Death (BSOD) oplevert. Wordt het niet tijd de kernel zoveel mogelijk te verlaten, zoals Microsoft lijkt te suggereren?
Nee, zegt CrowdStrike. Althans: de kernel totaal verlaten en alles in user space doen, zorgt voor veel grotere problemen. Falcon heeft op kernel-niveau toegang tot alles wat er op het besturingssysteem gebeurt. “Je kunt [ermee] handhaving leveren, of in andere woorden: threat prevention en anti-tampering.” Scattered Spider, een groep die voor grote cyberdreigingen zorgt, omzeilt bijvoorbeeld securitytools die slechts in user space zitten. Hierdoor werden verschillende casino’s in Las Vegas zwaar getroffen in de zomer van 2023. Dit dwingt CrowdStrike ertoe om diepe toegang te vereisen voor Windows en andere besturingssystemen.
Zonder een tussenweg tussen kernel en user space is de argumentatie van CrowdStrike moeilijk in twijfel te trekken. Of de extreme frequentie echt nodig is, is een andere zaak. Immers kon zelfs het kleinste foutje leiden tot grote problemen, ook al heeft CrowdStrike al een vloot aan wijzigingen aangekondigd omtrent het updatebeleid. Daaronder vallen gefaseerde roll-outs en verbeteringen aan de protectiemechanismen binnen de Falcon-sensor.
Uiteindelijk is het niet enkel aan CrowdStrike om te garanderen dat een herhaling van de IT-storing van 19 juli wordt voorkomen. Hoewel andere vendoren zeggen dat de eigen securitytools nooit op dezelfde manier kunnen falen, is dat niet van buitenaf te garanderen. Microsoft poogt securityspelers uit de kernel te duwen, maar dat duldt een partij als CrowdStrike dus niet. Tijd voor een eBPF-equivalent op Windows als tussenweg tussen kernel mode en user mode, wellicht?
Lees ook: Fal.Con 2024: CrowdStrike onthult Project Kestrel, Signal en verbeterde SIEM