CrowdStrike desglossa per què no es va provar correctament una mala actualització de Microsoft Windows que afecta milions de persones
Dimecres, CrowdStrike va revelar informació de la seva revisió preliminar posterior a l'incident, donant llum sobre per què no es va detectar una actualització recent de Microsoft Windows que va causar una interrupció generalitzada durant les proves internes. Aquest incident, que ha afectat milions de persones a tot el món, ha posat de manifest defectes crítics en el procés de validació de l'actualització.
CrowdStrike, una empresa líder en ciberseguretat, ofereix dos tipus diferents d'actualitzacions de configuració de contingut de seguretat al seu agent Falcon: contingut del sensor i contingut de resposta ràpida. Les actualitzacions de contingut del sensor ofereixen capacitats completes per a la resposta de l'adversari i la detecció d'amenaces a llarg termini. Aquestes actualitzacions no s'obtenen de forma dinàmica del núvol i se sotmeten a proves exhaustives, que permeten als clients controlar el desplegament a les seves flotes.
En canvi, el contingut de resposta ràpida consisteix en fitxers binaris propietaris que contenen dades de configuració per millorar la visibilitat i la detecció del dispositiu sense modificar el codi. Aquest contingut està validat per un component dissenyat per garantir la integritat abans de la distribució. No obstant això, l'actualització publicada el 19 de juliol, destinada a abordar noves tècniques d'atac que exploten canonades amb nom, va revelar un defecte crític.
El validador, en què es va confiar des del març, contenia un error que permetia que l'actualització defectuosa passés la validació. A causa de l'absència de proves addicionals, l'actualització es va implementar, donant lloc a aproximadament 8,5 milions de dispositius Windows experimentant un bucle de pantalla blava de la mort (BSOD) . Aquest error va derivar d'una lectura de memòria fora dels límits que va provocar una excepció no gestionada. Tot i que el component d'intèrpret de contingut de CrowdStrike està dissenyat per gestionar aquestes excepcions, aquest problema en particular no es va abordar adequadament.
En resposta a aquest incident, CrowdStrike es compromet a millorar els protocols de prova per al contingut de resposta ràpida. Les millores previstes inclouen proves de desenvolupadors locals, proves completes d'actualització i retrocés, proves d'estrès, fuzzing, proves d'estabilitat i proves d'interfície. El validador de contingut rebrà comprovacions addicionals i es reforçaran els processos de gestió d'errors. A més, s'implementarà una estratègia de desplegament esglaonada per al contingut de resposta ràpida, proporcionant als clients un major control sobre aquestes actualitzacions.
Dilluns, CrowdStrike va anunciar un pla de correcció accelerat per als sistemes afectats per l'actualització defectuosa, amb un avenç significatiu ja realitzat en la restauració dels dispositius afectats. L'incident, considerat un dels errors informàtics més greus de la història, va provocar grans interrupcions en diversos sectors, inclosos l'aviació, les finances, la sanitat i l'educació.
Després, els líders de la Cambra dels Estats Units insten el CEO de CrowdStrike, George Kurtz, a declarar davant el Congrés sobre la participació de l'empresa en l'ampli interrupció. Mentrestant, les organitzacions i els usuaris han estat alertats d'un augment dels intents de pesca, estafes i programari maliciós que exploten aquest incident.
Aquest esdeveniment subratlla la necessitat crítica de processos de prova i validació sòlids en ciberseguretat per evitar interrupcions tan generalitzades en el futur.