[Theori Security] CrowdStrike Blue Screen

7월 19일 발생한 '죽음의 블루 스크린' 현상

2024년 7월 19일, 윈도우 운영체제를 사용하는 PC에서 BSoD(Blue Screen of Death)가 나타나며 전 세계 서비스에 큰 장애가 발생했다. 

미국 사이버 보안업체 '크라우드스트라이크'가 업데이트한 보안 프로그램이 마이크로소프트의 운영체제인 윈도우와 충돌을 일으키며 항공, 금용 기업의 컴퓨터, 서버가 멈춰섰다. 사고 발생 8시간여 만에 원인을 찾았지만, 문제가 완전히 해결되지는 않아 혼란이 빚어졌다. 

블루 스크린은 '크라우드스트라이크'가 해킹 방지를 위한 보안 프로그램인 '팰컨 센서(Falcon Sensor)를 업데이트하면서 발생했다. 

Falcon Sensor?

Falcon Sensor란 실시간으로 엔드포인트 활동을 모니터링하고 잠재적인 위협을 탐지/분석하는 EDR(Endpoint Detection and Response) 기술과 악성 코드를 탐지하는 안티 바이러스 기능을 제공하는 보안 솔루션이다.

Falcon Sensor는 센서를 통해 데이터를 수집하고 악성 행위를 식별하여 알려지지 않은 새로운 공격을 탐지하고 예방할 수 있도록 Rapid Response Content 기능을 개발하여 배포했다. 또한, 윈도우 프로세스 간 통신을 악용하는 새로운 공격 기법을 탐지하기 위해  Rapid Response Content에 전달한 21개의 필드를 포함하는 새로운 유형의 템플릿을 작성했다.

이번 블루 스크린 발생의 원인은 이 템플릿에 있었다. 21개의 필드를 전달해야 했지만, 업데이트로 인해 20개의 필드만 전달하게 되면서 Out-of-Bounds memory read에러가 발생하였기 때문이다. 

Out-of-Bounds memory read
프로그램이 허용된 메모리 경계를 넘어 데이터를 읽으려고 할 때 발생하는 오류

주요 원인 
1. 배열 인덱스 초과
2. 포인터 연산 오류
3. 버퍼 크기 관리 실패 
4. 잘못된 메모리 참조
영향 : 프로그램 충돌, 데이터 누출, 보안 취약점 발생 

 

21번 인덱스에 유효한 값이 들어가지 않았다.

이번 사건은 소프트웨어 개발 및 코드 검수를 통한 패치 코드 제안 시 버그 발생을 방지하기 위한 크로스 체크의 중요성을 상기시켜 주었다. 

 

https://blog.theori.io/2024-h2-hot-security-issue-case-523e8f615189

2024 하반기 Hot🔥보안 사건 사고