Ich möchte auch noch mal kurz aus Sicht eines Code Auditors auf diese Crowdstrike-Sache gucken.

Wie kommen solche Dinge zustande? Die hatten doch Code Audits von ihrer Software!

Das kann ich aufklären. Bei Code Audits sagen die Auftraggeber, was "in scope" ist und was nicht. Typischerweise sind Config-Dateien nicht in Scope, weil Crowdstrike findet, die können ja schließlich nur von uns kommen, und der Übertragungsweg ist kryptografisch gesichert, also kann da nichts passieren.

Dazu kommen so Überlegungen der Form (je nach Mächtigkeit der Konfigurationsmechanismen): Wenn der Angreifer DA Dinge zu unseren Kunden pushen kann, dann ist eh alles verloren!1!!

Am Anfang meiner Karriere habe ich mich über diesen Scope-Scheiß noch endlos aufgeregt und da gegen Windmühlen gekämpft. Ich habe z.B. wochenlang mit Microsoft verhandelt, dass USB eine Security Boundary ist, d.h. etwas, wo ein erfolgreicher Angriff schlecht ist und verhindert werden sollte. Microsoft fand damals, USB sei ein physischer Angriffsvektor und die seien eh nicht zu verhindern, da könne ja auch jemand mit einem Hammer kommen und das Gerät kaputthauen. Also war USB jahrelang kein Angriffsvektor, und damit auch nicht die Filesysteme und die Autorun-Dateien darauf. Das hat sich erst geändert, als das USB-Forum "wireless USB" standardisierte, also das über Funk erreichbar war. Das kam nie weit, aber hat fundamental Tore aufgemacht bei Microsoft und ich vermute auch bei anderen Betriebssystemherstellern.

Ich habe bei Microsoft auch mal den SMB-Code auditiert, und habe dann einen Riesenschreck gekriegt, als die ETERNALBLUE von der NSA bekannt wurde. Hatte ich das übersehen? Nein, hatte ich nicht. Das Scope endete ca 3cm links davon. Ich sollte SMB angucken, und ETERNALBLUE war ein RPC über eine Named Pipe von SMB. Andere Arbeitsgruppe, out of scope.

Wenn ihr also mal einen Code Audit oder Pentest beauftragt, tut mir einen Gefallen und erzählt den Auditoren nicht, was in Scope ist und was nicht. Ihr habt die eingeladen und beauftragt, weil ihr glaubt, dass die wissen, wo die Bugs sind. Dan lasst sich auch dort gucken, um Himmels willen!