| 요약 | - CrowdStrike Falcon Sensor 업데이트 문제로 전 세계 PC에 BSOD 문제 발생 - 현재는 복구된 상태이며 업데이트 적용 전 충분한 테스트 필요 |
| 내용 | - 24.07.19 전 세계 PC에서 BSOD(Blue Screen Of Death) 발생 > 해당 문제는 CrowdStrike Falcon Sensor 업데이트 이후 발생 > CrowdStrike Falcon Sensor 업데이트 이후 커널 드라이버 파일 csagent.sys로 인해 블루 스크린이 표시 > 전 세계 TV 방송국, 은행, 항공사 등이 업무가 마비되어 피해 확산 > 잘못된 업데이트로 인해 영향 받는 PC와 서버가 복구 부팅 루프에 빠져 제대로 시작되지 않음 ※ Mac과 Linux 호스트는 영향을 받지 않음 - CrowdStrike Falcon Sensor > 크라우드스트라이크의 공격 방어와 시스템 활동 모니터링을 위한 중요한 구성 요소 - CrowdStrike는 업데이트 롤백 조치 > 그러나 이미 영향을 받은 기기에는 롤백이 도움되지 않음 > 이에, CrowdStrike 엔지니어들은 임시 해결책 제시 ① 윈도우를 안전 모드로 부팅하거나 외장 드라이브에 탑재한 윈도우로 부팅 ② C:\Windows\System32\drivers\CrowdStrike로 이동 ③ C-00000291*.sys 파일 찾아서 삭제 ④ 정상적으로 재부팅 ※ 또는 04:09 UTC 이전의 스냅샷으로 롤백 ※ 해당 임시 방안 적용 전 영향도를 충분히 파악할 필요 - 충분한 테스트 없이 업데이트를 배포한 것이 문제의 원인 > CrowdStrike는 24.07.22 복구 도구 개발 및 배포 > WinPE 모드로 복구하는 것(관리자 권한 불필요)과 안전 모드로 복구(관리자 권한 필수)하는 두 가지 복구 옵션 제공 > MS 다운로드 센터에서 받을 수 있으며, 시스템 성능ㆍ사양ㆍ환경에 따라 두 옵션 중 하나 선택 권장 > 어떤 복구 모드를 선택하든 충분히 실험을 해 본 후 정식 도입 추천 - 24.07.24 CrowdStrike 첫 번째 조사 보고서 발표 > 24.07.19 CrowdStrike는 Falcon 플랫폼 정기 업데이트를 진행 > Rapid Response Content(신속대응콘텐트) 설정 최신화 과정에서 윈도와의 충돌이 발생 > Rapid Response Content 업데이트에 문제가 있었고, 이를 배포하기 전 파악하지 못했기 때문 ※ Falcon: Window 환경을 동적으로 보호하는 장치로, 꾸준한 업데이트를 필요로 함 ⒜ Rapid Response Content(신속대응콘텐트) > 각종 행동 패턴 매칭 작업을 수행하는 데 필요한 핵심 요소 중 하나 > Falcon의 동적 보호를 가능하게 하는 원동력 > 스트레스 테스트를 다방면으로 진행하고 나서 업데이트를 배포하며 최종 배포 전 Content Validator(콘텐트밸리데이터) 도구를 활용해 업데이트의 유효성 확인 ⒝ Content Validator 버그 > 24.07.19 Content Validator 버그로 인해 통과되지 않았어야 할 템플릿 인스턴스 한 개가 정상으로 분류 > 이후 Falcon 업데이트가 배포되었고, Out-Of-Bounds Memory read 문제가 발생하여 윈도와 충돌 ⒞ 재발 방지 대책 > Rapid Response Content 시험 과정 강화: 시험 절차 삽입, 콘텐츠 업데이트와 롤백 양방향 시험, 스트레스 테스트, 퍼징 테스트 등 > Content Validator 오류 해결 |
| 기타 | - 해당 사건은 24년 가장 중요한 IT 사건 중 하나로 기록될 것 > 강력한 비상 계획과 인프라의 다변화 필요성이 대두 > IT 인프라의 다변화와 업데이트 전 충분한 테스트의 중요성을 인식 > 단일 보안 SW에 의존하는 것이 얼마나 큰 위험을 초래할 수 있는지 보여주는 사례 - 해당 사고를 악용한 사이버 공격 시도가 발견되어 주의 필요 > 복구 및 지원을 가장한 악성파일 유포, 개인정보 입력 유도 - 업데이트 전 검증을 하는 QA 활동을 강화하여 동일 사태의 재발을 방지해야 함 |
보안뉴스
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’
글로벌 보안 기업 크라우드 스트라이크의 팔콘 센서 업데이트 문제로 인해 전 세계 PC에 블루스크린이 표시되며 엄청난 파장이 일고 있다. 특히 TV 방송국, 은행, 항공사 등이 영향을 받으며 방송
www.boannews.com
MS 윈도 먹통 사태 여파... 국내에서의 항공기 지연·결항 피해 점검해보니
크라우드 스트라이크의 보안 SW인 팔콘 업데이트 오류에 따른 MS 윈도 먹통 사태는 국내 공항으로까지 확산됐다. 대한민국 전 지역을 관할권에 두는 인천항공교통관제소는 7월 19일 국토교통부의
www.boannews.com
크라우드 스트라이크 팔콘 제품으로 인한 윈도 ‘먹통’ 사태, 긴급 대응 조치는?
글로벌 보안업체 크라우드 스트라이크(CrowdStrike)의 보안 소프트웨어인 팔콘(Falcon) 제품으로 인한 윈도우 시스템 비정상 종료(블루스크린)와 관련해 한국인터넷진흥원(KISA)는 긴급 조치를 권고했
www.boannews.com
MS 클라우드 먹통 사태, 펄어비스와 그라비티 등 게임 서비스에도 영향 미쳐
크라우드 스트라이크의 보안 소프트웨어 팔콘(Falcon) 오류에 따른 MS 클라우드 먹통 사태는 국내 게임 업계에도 영향을 미치고 있는 것으로 파악됐다. 국내 대표 게임사인 넥슨, 넷마블, 엔씨소프
www.boannews.com
[긴급] 크라우드 스트라이크發 윈도 시스템 ‘먹통’ 사태 악용한 사이버 공격 발생했다!
글로벌 보안업체 크라우드 스트라이크(CrowdStrike)의 보안 소프트웨어 ‘팔콘(Falcon)’ 제품으로 인한 윈도 시스템 비정상 종료(블루스크린) 사태로 전 세계 IT 시스템이 대혼란을 겪은 가운데 해당
www.boannews.com
크라우드 스트라이크發 윈도 시스템 ‘먹통’ 사태, 재발 방지 위해 필요한 과제
지난 19일 오후부터 시작된 미국 사이버 보안 기업 ‘크라우드 스트라이크(CrowdStrike)’의 보안 소프트웨어의 업데이트 오류로 인해 항공, 은행, 방송 등 전 세계 시스템이 마비되면서 전 세계가
www.boannews.com
MS, 크라우드스트라이크 사태 위한 복구 도구 무료로 배포 중
보안 외신 핵리드에 의하면 마이크로소프트가 최근 발생한 ‘크라우드스트라이트(CrowdStrike) 사태’를 해결해 주는 복구 도구를 개발해 배포하기 시작했다고 한다. 이 도구에는 두 가지 복구 옵
www.boannews.com
크라우드스트라이크, IT 마비 사태 이후 첫 번째 보고서 발표
주말 동안 사상 초유의 전 세계 IT 마비 사태가 발생했고, 그 원인은 크라우드스트라이크(CrowdStrike)라는 보안 업체의 ‘업데이트’였다는 사실이 드러났다. 하지만 세부적인 내용에 대해서는 아
www.boannews.com
[긴급] 크라우드스트라이크 업데이트로 인한 글로벌 BSOD 대란 발생…윈도우 10 사용 기업 비상 -
2024년 7월 18일, 사이버 보안 기업 크라우드스트라이크(CrowdStrike)의 업데이트가 전 세계적으로 IT 대란을 초래했다. 이번 업데이트로 인해 다수의 윈도우 10 시스템이 블루스크린오브데스(BSOD)를
www.dailysecu.com
[긴급2보] 크라우드스트라이크 업데이트로 전세계 은행·항공·방송사 등 피해 속출…주가 하락 -
7월 19일, 사이버 보안 기업인 크라우드스트라이크는 자사 팔콘 센서(Falcon Sensor) 소프트웨어의 결함 있는 업데이트로 인해 전 세계 여러 산업에 심각한 혼란을 초래하는 큰 위기를 맞았다. 이 업
www.dailysecu.com
[사건 전말] 2만9천여 고객 보유한 크라우드스트라이크, 보안패치 체계 신뢰성에 치명타…대규모
18일 발생한, 글로벌 보안기업 크라우드스트라이크(CrowdStrike)의 업데이트 사고는 전 세계 IT 시스템에 심각한 피해를 발생시켰다. 역사상 최악의 IT 사고 중 하나라고 전문가들은 말한다. 이번 사
www.dailysecu.com
[특별기고] 크라우드스트라이크 BSOD 사태 해결책…‘멀티 클라우드’가 정답? - 데일리시큐
지난주 금요일 7월 19일 오후 전세계적으로 IT 대란이 발생했다. 전세계에서 약 850만대의 크라우드스트라이크(CrowdStrike) 팔콘(Falcon) 센서를 탑재한 MS 윈도우 7.11이상을 업무적으로 사용하는 PC에
www.dailysecu.com
KISA 보호나라&KrCERT/CC
KISA 보호나라&KrCERT/CC
www.boho.or.kr
KISA 보호나라&KrCERT/CC
KISA 보호나라&KrCERT/CC
www.boho.or.kr
Falcon Content Update Preliminary Post Incident Report | CrowdStrike
Read the preliminary post incident report regarding the CrowdStrike Falcon content update affecting Windows hosts.
www.crowdstrike.com
'보안뉴스' 카테고리의 다른 글
| 내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화 (0) | 2024.08.16 |
|---|---|
| 미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포 (0) | 2024.07.31 |
| 해외에서 금융정보 훔친 악성 앱, 한국에 상륙... 금융소비자 주의보! (0) | 2024.07.04 |
| 랜섬웨어 공격자들이 늘어난다고? 그러면 랜섬웨어를 위장 도구로 사용하면 어떨까? 외 1건 (0) | 2024.07.02 |
| AI 노리는 대표적 공격 3가지는? AI 모델 공유 플랫폼, AI 취약점, 데이터 오염 (0) | 2024.06.25 |