CrowdStrike bryder ned, hvorfor dårlig opdatering til Microsoft Windows, der påvirker millioner, ikke blev testet ordentligt
I onsdags afslørede CrowdStrike indsigt fra deres foreløbige gennemgang efter hændelsen og kastede lys over, hvorfor en nylig Microsoft Windows-opdatering, der forårsagede omfattende forstyrrelser, ikke blev opdaget under intern test. Denne hændelse, der påvirker millioner globalt, har fremhævet kritiske fejl i opdateringsvalideringsprocessen.
CrowdStrike, et førende cybersikkerhedsfirma, leverer to forskellige typer sikkerhedsindholdskonfigurationsopdateringer til sin Falcon-agent: sensorindhold og indhold med hurtig respons. Sensorindholdsopdateringer tilbyder omfattende muligheder for modstandsrespons og langsigtet trusselsdetektion. Disse opdateringer hentes ikke dynamisk fra skyen og gennemgår omfattende test, hvilket giver kunderne mulighed for at kontrollere implementeringen på tværs af deres flåder.
I modsætning hertil består hurtigt svarindhold af proprietære binære filer, der indeholder konfigurationsdata for at forbedre enhedens synlighed og detektion uden at ændre kode. Dette indhold er valideret af en komponent designet til at sikre integritet før distribution. Opdateringen, der blev udgivet den 19. juli, med det formål at adressere nye angrebsteknikker, der udnytter navngivne rør, afslørede imidlertid en kritisk fejl.
Validatoren, som har været påberåbt siden marts, indeholdt en fejl, der tillod den defekte opdatering at bestå validering. På grund af fraværet af yderligere test blev opdateringen implementeret, hvilket resulterede i, at cirka 8,5 millioner Windows-enheder oplevede en Blue Screen of Death (BSOD)-løkke . Dette nedbrud stammede fra en out-of-bounds hukommelseslæsning, der forårsagede en uhåndteret undtagelse. Selvom CrowdStrikes indholdsfortolkerkomponent er designet til at håndtere sådanne undtagelser, blev dette særlige problem ikke behandlet tilstrækkeligt.
Som svar på denne hændelse er CrowdStrike forpligtet til at forbedre testprotokollerne for indhold med hurtig respons. Planlagte forbedringer omfatter test af lokal udviklere, omfattende opdaterings- og tilbagerulningstest, stresstest, fuzzing, stabilitetstest og interfacetest. Indholdsvalidatoren vil modtage yderligere kontroller, og fejlhåndteringsprocesser vil blive styrket. Desuden vil en forskudt implementeringsstrategi for indhold med hurtig respons blive implementeret, hvilket giver kunderne større kontrol over disse opdateringer.
I mandags annoncerede CrowdStrike en accelereret afhjælpningsplan for systemer, der er berørt af den fejlbehæftede opdatering, med betydelige fremskridt, der allerede er gjort med at gendanne påvirkede enheder. Hændelsen, der betragtes som en af de mest alvorlige it-fejl i historien, resulterede i store forstyrrelser på tværs af forskellige sektorer, herunder luftfart, finans, sundhedspleje og uddannelse.
I kølvandet opfordrer ledere i det amerikanske hus indtrængende CrowdStrikes administrerende direktør, George Kurtz, til at vidne for kongressen om virksomhedens involvering i det omfattende afbrydelse. I mellemtiden er organisationer og brugere blevet advaret om en stigning i phishing, svindel og malware-forsøg, der udnytter denne hændelse.
Denne begivenhed understreger det kritiske behov for robuste test- og valideringsprocesser inden for cybersikkerhed for at forhindre sådanne udbredte forstyrrelser i fremtiden.