CrowdStrike: К масштабному сбою привёл баг валидатора контента
Главная » Новости

CrowdStrike: К масштабному сбою привёл баг валидатора контента

Екатерина Быстрова 24 Июля 2024 - 20:02
...
CrowdStrike: К масштабному сбою привёл баг валидатора контента

Специалисты компании CrowdStrike изучили причины недавнего крупномасштабного сбоя и пришли к выводу, что причиной стало корявое обновление конфигурации контента, которое должно было собрать телеметрию о новых методах киберпреступников.

После прохождения валидатора контента (Content Validator) апдейт не прошёл дополнительные проверки из-за предыдущего положительного опыта развёртывания шаблонов Inter-Process Communication (IPC).

Именно поэтому специалисты не смогли отследить проблему до того, как она добралась до онлайн-хостов, на которых была работал Falcon версии 7.11 и выше.

По словам CrowdStrike, компании в течение часа удалось отозвать обновление, но к тому времени, к сожалению, пострадали уже около 8,5 млн систем Windows.

Известно, что CrowdStrike использует данные конфигурации, которые принято называть типами шаблонов IPC. Они позволяют Falcon детектировать подозрительное поведение на устройстве.

Шаблоны IPC доставляются с регулярными обновлениями контента, которые в CrowdStrike именуют «Rapid Response Content». Этот контент может настраивать возможности детектирования, чтобы Falcon выявлял новые киберугрозы без необходимости накатывать полные апдейты.

Например, перед сбоем компания пыталась обновить конфигурацию, чтобы Falcon мог фиксировать вредоносное использование именованных каналов (Named Pipes) в распространённых C2-фреймворках.

Компонент Content Validator, отвечающий за проверку и утверждение шаблонов, одобрил три экземпляра: 5 марта, 8 и 24 апреля. На тот момент никаких проблем не обнаружилось.

19 июля компания развернула два дополнительных экземпляра шаблона IPC, в одном из которых и крылся баг конфигурации.

Напомним, в начале недели Microsoft выпустила кастомный WinPE-инструмент для восстановления системы и удаления забагованного обновления CrowdStrike.

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу
Татьяна Никитина 04 Февраля 2026 - 21:18
Уязвимости программ Домашние пользователиКорпорации
Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

  • 144.0.7559.97 (Stable)
  • 145.0.7632.18 (Beta)
  • 146.0.7647.4 (Dev)
  • 146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
В Google Chrome теперь можно выключать ИИ-защиту от спама
Новость
В Google Chrome теперь можно выключать ИИ-защиту от спама
Microsoft добавила в Windows быстрый откат ОС и облачное восстановление
Новость
Microsoft добавила в Windows быстрый откат ОС и облачное вос...
На Android нашли рабочий способ вернуть фоновый YouTube без Premium
Новость
На Android нашли рабочий способ вернуть фоновый YouTube без...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.