Crowdstrike สรุปง่ายๆ : ทำยังไงให้ระบบล่มกันทั้งโลก?
จากเหตุการณ์ Crowdstrike ทำระบบคอมพิวเตอร์ล่มกว่า 8.5 ล้านเครื่องทั่วโลกและสร้างความเสียหายกว่า 1 พันล้านเหรียญดอลลาร์สหรัฐต่อในวันศุกร์ที่ 19 ที่ผ่านมานั้น เป็นที่ฮือฮาให้ทั้งกับคนทั่วไปและคนที่ทำงานในสายไอทีเป็นอย่างมาก (และเหล่าแอดมินที่น่าจะอดหลับอดนอนเพื่อที่จะกู้ระบบให้กลับมาใช้งานได้) ในบทความนี้ Safecloud จะมาลองดูกันว่าจุดเริ่มต้นมาจากไหนโดยที่ข้อมูลที่เรานำมาสรุปจะมาจากบทความที่ Crowdstrike ได้ทำการประกาศอย่างเป็นทางการในวันที่ 22 ที่ผ่านมาครับ
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
ทาง Crowdstrike ได้แนบวิธีการแก้ไขปัญหาจอฟ้าจาก microsoft ไว้ในลิงก์ด้วย สรุปง่ายๆ วิธีแก้ก็คือการเปิด Safe mode แล้วลบไฟล์ที่มีชื่อว่า C-00000291 นำหน้าออกจากโฟลเดอร์ CrowdStrike หรือตามขั้นตอนดังนี้
- เปิดเครื่องใน Safemode หรือ Windows RE
- เปิด cmd แล้วใช้คำสั่ง “del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys”
- รีสตาร์ทเครื่อง
แต่สำหรับท่านที่ยังต้องการวิดีโอสาธิต ทาง Crowdstrike ก็ได้ทำวิดีโอออกมาด้วยครับ
จากวิธีแก้ไข อาจจะเริ่มมองเห็นภาพกันแล้วว่าปัญหามันมาจากไฟล์ C-00000291*.sys นี่เอง แต่ไฟล์นี่มันทำงานอย่างไร ทำไมถึงทำให้เครื่องจอฟ้าได้เรามาดูกันครับ
Channel Files
ตัวปัญหาในครั้งนี้เกิดในระบบ CrowdStrike Falcon ครับหรือถ้าจะให้เจาะจงก็คือตัวโปรแกรม Falcon Sensor ที่ทำหน้าที่เป็นโปรแกรมแอนตี้ไวรัสที่ต้องติดตั้งบนเครื่องทุกเครื่องที่ใช้งาน CrowdStrike แต่โปรแกรมจะเป็นแอนตี้ไวรัสที่มีความซับซ้อนค่อนข้างสูง มีการใช้งาน AI เข้ามาช่วยวิเคราะห์ตรวจจับการแฮ็กทำให้ต้องมีการทำงานระดับ Ring 0 หรือ Kernel ครับ โปรแกรมที่ทำงานทั่วไปปกติแล้วจะทำงานในระดับ Ring 3 ทำให้เวลาทำงานผิดพลาดโปรแกรมอาจจะค้างหรือปิดไปเองเฉยๆ แต่โปรแกรมในระดับ Ring 0 นั้นสามารถเข้าถึงฮาร์ดแวร์ต่างๆในเครื่องเราได้ ทำให้เมื่อมันทำงานผิดพลาดก็จะทำให้เกิดปัญหากับการทำงานของคอมพิวเตอร์ไปด้วย
ระดับการทำงานของโปรแกรม Crowdstrike ทำงานอยู่ในระดับ Kernel
นอกจากนี้ตัว Falcon Sensor ก็ต้องมีการอัพเดทข้อมูลเพื่อเพิ่มประสิทธิภาพในการดักจับการโจมตีอยู่เสมอ เพราะว่าการโจมตีทางไซเบอร์สมัยนี้เกิดขึ้นได้เร็วมาก ถ้าอัพเดทช้าแล้วมีการโจมตีใหม่ๆเกิดขึ้นมาแต่อัพเดทไม่ทันก็มีความเสี่ยงที่จะถูกแฮ็กเกอร์โจมตีได้
CrowdStrike เลยจะทำการดาวน์โหลดอัพเดทมาแบบอัตโนมัติ ซึ่งไฟล์อัพเดทนี่ทาง CrowdStrike เรียกว่า Channel File แล้วโปรแกรม Falcon Sensor ก็นำเอาเหล่า Channel file มาปรับปรุงการทำงานของตัวเอง แต่เพราะ Falcon Sensor นั้นทำงานในระดับ Kernel ทำให้ถ้ามีบัคใน Channel file ก็จะทำให้โปรแกรมทำงานผิดพลาดไปด้วย
จากการแถลงการของ Crowdstrike บอกว่ามีปัญหาเกิดขึ้นที่ Channel File ที่ชื่อ C-00000291 ในเวลา 04:09 UTC ถึง 05:27 UTC หรือเวลา 11:09 ถึง 12:27 เวลาไทยทำให้เครื่องวินโดว์ทุกเครื่องที่มีการติดตั้ง Falcon Sensor และติดต่ออินเทอร์เน็ตในช่วงเวลานี้ดาวน์โหลดไฟล์ที่มีปัญหาไปแล้วจอฟ้าในที่สุดครับ
Update Aug 7, 2024: ทาง Crowdstrike ได้ทำการประกาศอย่างเป็นทางการถึงต้นตอของปัญหาหาแล้ว ทุกท่านสามารถเข้าไปอ่านได้ที่นี่
สรุปง่ายๆ
ใน Falcon Sensor นั้นจะมีระบบที่ทำงานกับ Windows interprocess communication (“IPC”) อยู่ครับซึ่งระบบนี้ในตัว Sensor จะทำการรับค่ามาจาก Channel file เพื่อที่จะทำการปรับปรุงการทำงานให้ป้องกันการโจมตีได้ดีขึ้น โดยที่ตามปกติแล้วจะรับค่ามา 21 ค่าด้วยกัน แต่!!!! Channel File 291 นั้นมีค่าที่ส่งไปให้ Falcon Sensor อ่านแค่ 20 ค่าเท่านั้น เมื่อ Sensor ทำการไล่ค่าจนถึงค่าที่ 21 ค่าที่อ่านเข้าไปจึงเป็นค่าอะไรก็ไม่รู้ได้เพราะมันทะลุขอบเขตของค่าที่มีใน Channel File แล้ว ทำให้เกิดการทำงานที่ผิดพลาดแล้วทำให้เครื่องค้างไปครับ
ทีนี้เราจะว่าปัญหาหานี้เกิดมาจากความประมาทของ Crowdstrike ก็ได้ครับ เพราะว่าในการปล่อยไฟล์ 291 ไปจนถึงการเอาไฟล์นี้มาอ่านภายใน Sensor เนี่ยมีหลายขึ้นตอนมาก ถ้ามีการเช็คภายในหนึ่งในนั้นปัญหานี้ก็จะไม่เกิดขึ้น
ทาง Safecloud คาดว่าครั้งนี้คงไม่ใช่ครั้งสุดท้ายที่เหตุการณ์แบบนี้จะเกิดขึ้นเนื่องจากระบบโปรแกรมต่างๆในยุคนี้ไม่ใช่ Standalone อีกต่อไปและต้องมีการเชื่อมต่อสู่ภายนอกอยู่เสมอ ทั้งในเรื่องของการอัพเดทและการนำข้อมูลไปประมวลผลบนคลาวน์ เลยอยากแนะนำให้ทุกๆองค์กรทำแผน Business Continuity Plan สำหรับรับมือเหตุการณ์ที่ระบบจาก Supply Chain จะล่มจนใช้งานไม่ได้ทุกเครื่อง ที่ไม่ใช่แค่ระบบแอนตี้ไวรัสแต่เป็นระบบอื่นๆด้วย เพื่อให้องค์กรสามารถรับมือและสามารถทำให้ระบบการทำงานขององค์กรกลับมาใช้งานได้อย่างเร็วที่สุดครับ
