CrowdStrike rozebírá, proč nebyla řádně otestována špatná aktualizace systému Microsoft Windows ovlivňující miliony lidí
Ve středu CrowdStrike zveřejnil poznatky z jejich předběžného hodnocení po incidentu, čímž objasnil, proč nebyla během interního testování detekována nedávná aktualizace Microsoft Windows, která způsobila rozsáhlé narušení . Tento incident, který zasáhl miliony lidí po celém světě, upozornil na kritické chyby v procesu ověřování aktualizací.
CrowdStrike, přední společnost zabývající se kybernetickou bezpečností, poskytuje svému agentovi Falcon dva odlišné typy aktualizací konfigurace bezpečnostního obsahu: obsah senzorů a obsah s rychlou odezvou. Aktualizace obsahu senzorů nabízejí komplexní možnosti pro reakci protivníka a dlouhodobou detekci hrozeb. Tyto aktualizace nejsou dynamicky načítány z cloudu a procházejí rozsáhlým testováním, což zákazníkům umožňuje řídit nasazení napříč jejich flotilami.
Naproti tomu obsah rychlé odezvy se skládá z proprietárních binárních souborů obsahujících konfigurační data pro zlepšení viditelnosti a detekce zařízení bez úpravy kódu. Tento obsah je ověřován komponentou navrženou tak, aby byla zajištěna integrita před distribucí. Aktualizace vydaná 19. července, zaměřená na řešení nových útočných technik využívajících pojmenované kanály, však odhalila kritickou chybu.
Validátor, na který se spoléhalo od března, obsahoval chybu, která umožňovala, aby chybná aktualizace prošla ověřením. Vzhledem k absenci dalšího testování byla aktualizace nasazena, což vedlo k tomu, že přibližně 8,5 milionu zařízení s Windows zaznamenalo smyčku modré obrazovky smrti (BSOD) . Toto selhání bylo způsobeno čtením mimo hranice paměti, které způsobilo neošetřenou výjimku. Přestože komponenta interpretu obsahu CrowdStrike je navržena pro správu takových výjimek, tento konkrétní problém nebyl adekvátně vyřešen.
V reakci na tento incident se CrowdStrike zavázal vylepšit testovací protokoly pro obsah rychlé reakce. Plánovaná vylepšení zahrnují testování místních vývojářů, komplexní testování aktualizací a vrácení zpět, zátěžové testování, fuzzing, testování stability a testování rozhraní. Validátor obsahu obdrží další kontroly a procesy zpracování chyb budou posíleny. Kromě toho bude implementována strategie postupného zavádění obsahu rychlé reakce, která zákazníkům poskytne větší kontrolu nad těmito aktualizacemi.
V pondělí CrowdStrike oznámil zrychlený plán nápravy pro systémy postižené chybnou aktualizací, přičemž již bylo dosaženo významného pokroku v obnově postižených zařízení. Incident, považovaný za jedno z nejzávažnějších selhání IT v historii, měl za následek velké narušení v různých odvětvích, včetně letectví, financí, zdravotnictví a školství.
V důsledku toho vedoucí představitelé Sněmovny reprezentantů naléhají na generálního ředitele CrowdStrike George Kurtze, aby svědčil před Kongresem ohledně podílu společnosti na rozsáhlém výpadku. Mezitím byly organizace a uživatelé upozorněni na nárůst phishingu, podvodů a pokusů o malware využívající tento incident.
Tato událost podtrhuje kritickou potřebu robustních testovacích a ověřovacích procesů v kybernetické bezpečnosti, aby se předešlo tak rozsáhlým narušením v budoucnosti.