Pada tanggal 19 Juli 2024, segala kegiatan penggerak roda ekonomi mendadak terhenti dan menyebabkan kepanikan yang melanda hampir seluruh dunia. Mulai dari aktivitas penerbangan yang terpaksa dihentikan, bank-bank besar tidak bisa mengakses database mereka, toko-toko, dan beberapa layanan komunikasi juga ikut terkena imbasnya. Kepanikan itu terjadi karena perangkat sistem mendadak mengalami blue screen yang mengakibatkan terjadinya pemadaman total. Semua perangkat yang mengalami itu mempunyai kesamaan, yaitu memakai Operating System Windows dan menggunakan antivirus CrowdStrike.
OS Windows telah menjadi standar di banyak perusahaan karena kemudahan dan kesederhanaan pengoperasiannya. Sistem operasi ini digunakan secara luas bahkan menjadi sebuah standardisasi di berbagai bidang seperti F1, sistem manajemen penerbangan, bank, media penyiaran dan lain-lain, sehingga penting untuk menjaga keamanan dan kerahasiaan data. Maka dari itu dibutuhkan sebuah antivirus yang terpercaya untuk melindungi berbagai data vital yang bersirkulasi pada sistem. CrowdStrike adalah salah satu antivirus yang dipilih oleh banyak perusahaan.
Apa itu CrowdStrike?
CrowdStrike merupakan perusahaan keamanan siber Amerika Serikat (AS) berbasis di Austin, Texas. Sejak pendiriannya, perusahaan ini mulai menawarkan berbagai layanan keamanan menggunakan perangkat lunak berbasis cloud. Menurut CNBC, CrowdStrike mengklaim bahwa pihaknya melindungi 538 dari 1000 perusahaan Fortune. Dengan reputasi dan kredibilitasnya, CrowdStrike dianggap perusahaan yang sudah memiliki nama. Setelah melihat sekilas data CrowdStrike di atas, pasti ada pertanyaan di benak kita, bagaimana perusahaan sebesar itu menyebabkan pemadaman global?
Mengapa Bisa Error?
Pada tanggal 19 Juli 2024, CrowdStrike merilis pembaruan konfigurasi sensor untuk sistem Windows. Pembaruan konfigurasi sensor adalah bagian berkelanjutan dari mekanisme perlindungan platform Falcon. Pembaruan konfigurasi ini memicu kesalahan logika yang mengakibatkan kerusakan sistem dan layar biru (BSOD) pada sistem yang terkena dampak. Menurut BBC, Microsoft memperkirakan 8,5 juta komputer di seluruh dunia dinonaktifkan karena pemadaman TI global akhir pekan lalu.
CrowdStrike Falcon Sensor adalah software CrowdStrike yang berjalan di background yang bertugas untuk mencari potensial anomali pada security. Falcon Sensor terdiri dari dua bagian yaitu driver yang berfungsi sebagai eksekutor dan juga channel files atau config files. Perlu diingat bahwa CrowdStrike Falcon Sensor bukan merupakan kernel driver dan dapat di-update secara on the fly. Saat CrowdStrike melakukan update ke dalam filename ‘c-00000291-sys’, sebuah logic error membuat seluruh sistem mengalami crash.
Mengapa error bisa membuat seluruh sistem crash?
Meskipun hanya sekedar logic error, masalah ini menyebabkan seluruh sistem mengalami crash, padahal biasanya crash hanya terjadi pada aplikasinya sendiri. Hal itu disebabkan karena CrowdStrike merupakan Software unik yang beroperasi dalam ring 0 atau kernel mode. Ring 0 atau kernel mode merupakan zona yang memiliki akses tertinggi di sekeliling CPU yang biasa digunakan untuk process scheduling dan direct hardware access. Biasanya, Ring 0 hanya dapat diakses oleh sistem operasi seperti Microsoft.
CrowdStrike bisa beroperasi dan mengakses ring 0 yaitu area terdalam sistem. Ada sebuah requirement berupa sertifikasi yang dibutuhkan aplikasi 3rd party sehingga dapat berjalan pada ring 0, yaitu sertifikasi yang bernama WHQL dari Microsoft sendiri. Tentunya CrowdStrike telah dilengkapi dengan sertifikasi tersebut sehingga antivirus ini dapat beroperasi pada ring 0.
Keunikan dari CrowdStrike terletak pada kemampuannya untuk membuat update pada channel files atau config files secara dinamis. Pada kasus ini, driver pada falcon sensor mempunyai masalah membaca channel file 291 yang akhirnya menyebabkan sistem error dan memunculkan blue screen pada perangkat tersebut.
Penulis : Adityo Rafi Wardhana
Editor : Maulina Nur Laila dan Mutiara Noor Fauzia
Referensi:
https://www.bbc.com/indonesia/articles/cye059570xko
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/