Το CrowdStrike καταστρέφει γιατί η κακή ενημέρωση των Microsoft Windows που επηρεάζει εκατομμύρια δεν δοκιμάστηκε σωστά

Την Τετάρτη, το CrowdStrike αποκάλυψε πληροφορίες από την προκαταρκτική ανασκόπησή τους μετά το συμβάν, ρίχνοντας φως στο γιατί μια πρόσφατη ενημέρωση των Microsoft Windows που προκάλεσε εκτεταμένη αναστάτωση δεν εντοπίστηκε κατά τη διάρκεια των εσωτερικών δοκιμών. Αυτό το περιστατικό, που επηρεάζει εκατομμύρια παγκοσμίως, έχει επισημάνει σημαντικά ελαττώματα στη διαδικασία επικύρωσης της ενημέρωσης.

Η CrowdStrike, μια κορυφαία εταιρεία κυβερνοασφάλειας, παρέχει δύο διαφορετικούς τύπους ενημερώσεων διαμόρφωσης περιεχομένου ασφαλείας στον πράκτορά της Falcon: περιεχόμενο αισθητήρων και περιεχόμενο ταχείας απόκρισης. Οι ενημερώσεις περιεχομένου αισθητήρων προσφέρουν ολοκληρωμένες δυνατότητες για απόκριση αντιπάλου και μακροπρόθεσμη ανίχνευση απειλών. Αυτές οι ενημερώσεις δεν λαμβάνονται δυναμικά από το cloud και υποβάλλονται σε εκτεταμένες δοκιμές, επιτρέποντας στους πελάτες να ελέγχουν την ανάπτυξη στους στόλους τους.

Αντίθετα, το περιεχόμενο ταχείας απόκρισης αποτελείται από ιδιόκτητα δυαδικά αρχεία που περιέχουν δεδομένα διαμόρφωσης για τη βελτίωση της ορατότητας και της ανίχνευσης της συσκευής χωρίς τροποποίηση κώδικα. Αυτό το περιεχόμενο επικυρώνεται από ένα στοιχείο σχεδιασμένο να διασφαλίζει την ακεραιότητα πριν από τη διανομή. Ωστόσο, η ενημέρωση που κυκλοφόρησε στις 19 Ιουλίου, με στόχο την αντιμετώπιση καινοτόμων τεχνικών επίθεσης που εκμεταλλεύονται επώνυμους σωλήνες, αποκάλυψε ένα κρίσιμο ελάττωμα.

Ο επικυρωτής, στον οποίο βασιζόμαστε από τον Μάρτιο, περιείχε ένα σφάλμα που επέτρεπε στην ελαττωματική ενημέρωση να περάσει την επικύρωση. Λόγω της απουσίας πρόσθετων δοκιμών, η ενημέρωση αναπτύχθηκε, με αποτέλεσμα περίπου 8,5 εκατομμύρια συσκευές Windows να αντιμετωπίσουν έναν βρόχο μπλε οθόνης θανάτου (BSOD) . Αυτή η συντριβή προήλθε από ανάγνωση μνήμης εκτός ορίων, η οποία προκάλεσε μια μη χειρισμένη εξαίρεση. Αν και το στοιχείο διερμηνέα περιεχομένου του CrowdStrike έχει σχεδιαστεί για τη διαχείριση τέτοιων εξαιρέσεων, αυτό το συγκεκριμένο ζήτημα δεν αντιμετωπίστηκε επαρκώς.

Σε απάντηση σε αυτό το περιστατικό, το CrowdStrike δεσμεύεται να βελτιώσει τα πρωτόκολλα δοκιμών για περιεχόμενο ταχείας απόκρισης. Οι προγραμματισμένες βελτιώσεις περιλαμβάνουν τοπικές δοκιμές προγραμματιστών, ολοκληρωμένες δοκιμές ενημέρωσης και επαναφοράς, stress testing, fuzzing, δοκιμές σταθερότητας και δοκιμές διεπαφής. Το εργαλείο επικύρωσης περιεχομένου θα λάβει πρόσθετους ελέγχους και οι διαδικασίες διαχείρισης σφαλμάτων θα ενισχυθούν. Επιπλέον, θα εφαρμοστεί μια κλιμακωτή στρατηγική ανάπτυξης για περιεχόμενο ταχείας απόκρισης, παρέχοντας στους πελάτες μεγαλύτερο έλεγχο σε αυτές τις ενημερώσεις.

Τη Δευτέρα, η CrowdStrike ανακοίνωσε ένα σχέδιο επιτάχυνσης αποκατάστασης για συστήματα που επηρεάζονται από την ελαττωματική ενημέρωση, με σημαντική πρόοδο να έχει ήδη σημειωθεί στην αποκατάσταση των επηρεαζόμενων συσκευών. Το περιστατικό, που θεωρείται μία από τις πιο σοβαρές αστοχίες πληροφορικής στην ιστορία, είχε ως αποτέλεσμα μεγάλες διακοπές σε διάφορους τομείς, όπως η αεροπορία, τα οικονομικά, η υγειονομική περίθαλψη και η εκπαίδευση.

Στη συνέχεια, οι ηγέτες της Βουλής των ΗΠΑ προτρέπουν τον Διευθύνοντα Σύμβουλο της CrowdStrike, Τζορτζ Κουρτς, να καταθέσει ενώπιον του Κογκρέσου σχετικά με την εμπλοκή της εταιρείας στην εκτεταμένη διακοπή λειτουργίας. Εν τω μεταξύ, οργανισμοί και χρήστες έχουν ειδοποιηθεί για αύξηση των προσπαθειών ηλεκτρονικού ψαρέματος (phishing), απάτης και κακόβουλου λογισμικού που εκμεταλλεύεται αυτό το περιστατικό.

Αυτό το συμβάν υπογραμμίζει την κρίσιμη ανάγκη για ισχυρές διαδικασίες δοκιμών και επικύρωσης στην ασφάλεια στον κυβερνοχώρο για την αποτροπή τέτοιων εκτεταμένων διαταραχών στο μέλλον.