Microsoft'un CrowdStrike Olayına İlişkin Teknik Analizi

CrowdStrike kesinti olayının teknik analizi

• Temel nedenin, özellikle okuma aralığı dışına çıkan erişim ihlali olmak üzere, CSagent sürücüsündeki bellek güvenliği sorunu olduğu belirtildi
• Analiz, Microsoft'un WinDBG çekirdek hata ayıklayıcısı ve ücretsiz sunulan çeşitli eklentiler kullanılarak gerçekleştirildi

CSagent.sys sürücüsünün işlevi

• CSagent.sys modülü, anti-malware ajanlarında yaygın olarak kullanılan bir dosya sistemi filtre sürücüsü olarak kayıtlıdır
• Dosya oluşturma veya değiştirme gibi dosya işlemlerine ilişkin bildirimleri almak için kullanılır
• Tarayıcı üzerinden dosya indirme gibi diske yeni bir dosya kaydedildiğinde, güvenlik ürünlerinin tarama yapmasında kullanılır
• Sistemin davranışını izlemek isteyen güvenlik çözümleri için bir sinyal olarak da kullanılabilir
• CrowdStrike, içerik güncellemesinin bir bölümünün sensor'ün named pipe oluşturma ile ilgili mantığındaki değişiklik olduğunu açıkladı
• Dosya sistemi filtre sürücüsü API'si, sürücünün sistemde named pipe etkinliği (ör. named pipe oluşturma) gerçekleştiğinde çağrı almasını sağlayarak kötü amaçlı davranışın tespit edilmesini mümkün kılar

CrowdStrike'ın çeşitli sürücü modülleri

• CrowdStrike, CSBoot, CSDeviceControl, CSAgent ve CSFirmwareAnalysis olmak üzere 4 sürücü modülü yüklüyor
• Bunlardan biri, CrowdStrike'ın olay sonrası inceleme zaman çizelgesine göre dinamik kontrol ve içerik güncellemelerini sık sık alıyor

CrowdStrike sürücüsüyle ilgili çökme raporu sayısındaki değişim

• Bu özel CrowdStrike programlama hatası nedeniyle oluşturulan Windows çökme raporlarının sayısı tespit edildi
• Çökme raporu oluşturan cihaz sayısı, Microsoft'un önceki blog yazısında paylaştığı etkilenen cihaz sayısından daha azdı
• Bunun nedeni, çökme raporlarının örnekleme yoluyla toplanması ve yalnızca çökme raporlarını Microsoft'a yüklemeyi seçen müşterilerden gelmesidir
• Çökme dökümü paylaşımını etkinleştirmeyi seçen müşteriler, sürücü sağlayıcıları ile Microsoft'un kalite sorunlarını ve çökmeleri belirleyip çözmesine yardımcı olur

Windows yüksek güvenlik modunda dağıtılabilir mi?

• Windows, yerleşik araçlar kullanılarak kilitlenebilir ve güvenlik varsayılanlarını sürekli olarak yükseltiyor
• Windows 11'de onlarca yeni güvenlik özelliği varsayılan olarak etkin durumda
• Yerleşik güvenlik özellikleri arasında Güvenli Önyükleme, Ölçümlü Önyükleme, Bellek Bütünlüğü, Zafiyetli Sürücü Engelleme Listesi, Yerel Güvenlik Yetkilisi koruması ve Microsoft Defender Antivirus yer alıyor
• Bu güvenlik özellikleri, modern Windows sürümlerinde malware ve exploit girişimlerine karşı koruma katmanları sağlar
• Standart kullanıcı olarak çalışmak ve yalnızca gerektiğinde yetki yükseltmek gibi en iyi uygulamaları izleyen şirketler, MITRE ATT&CK tekniklerinin büyük bölümünü azaltabilir

Gelecek planları

• Microsoft, ekosistemle birlikte çalışarak anti-malware şirketlerinin Windows'un yerleşik özelliklerinden yararlanıp yaklaşımlarını modernleştirmesine ve güvenlik ile kararlılığı artırmasına yardımcı olacak
• Güvenlik ürünü güncellemelerini daha güvenli hale getirmek için güvenli rollout yönergeleri, en iyi uygulamalar ve teknolojiler sağlayacak
• Kritik güvenlik verilerine erişmek için çekirdek sürücülere duyulan ihtiyacı azaltacak
• VBS enclave gibi teknolojilerle daha güçlü izolasyon ve kurcalamaya karşı koruma sağlayacak
• Cihazın güvenlik durumunun, Windows'un yerleşik güvenlik özelliklerinin durumuna göre değerlendirilebilmesini sağlayan yüksek bütünlüklü doğrulama gibi zero trust yaklaşımlarını etkinleştirecek
• Windows, Microsoft'un Secure Future Initiative'inin bir parçası olarak Rust programlama diline olan bağlılığını duyurdu ve Windows çekirdeğinde Rust desteğini genişletiyor
• Bu blog yazısındaki bilgiler, CrowdStrike olayı sonrasında çıkarılan dersleri ve sonraki adımları şekillendirmeye yönelik taahhüdün bir parçası olarak paylaşılıyor