CrowdStrike hajoaa, miksi miljoonien miljooniin vaikuttavia huonoja päivityksiä Microsoft Windowsille ei testattu kunnolla

Keskiviikkona CrowdStrike paljasti näkemyksiä alustavasta tapahtuman jälkeisestä katsauksestaan ja selventää, miksi äskettäin laajaa häiriöitä aiheuttanut Microsoft Windows -päivitys ei havaittu sisäisen testauksen aikana. Tämä miljooniin maailmanlaajuisesti vaikuttanut tapaus on tuonut esiin kriittisiä puutteita päivityksen validointiprosessissa.

CrowdStrike, johtava kyberturvallisuusyritys, tarjoaa Falcon-agentilleen kahta erilaista tietoturvasisällön konfigurointipäivitystä: anturisisällön ja nopean vastauksen sisällön. Sensorin sisältöpäivitykset tarjoavat kattavat ominaisuudet vastustamiseen ja pitkän aikavälin uhkien havaitsemiseen. Näitä päivityksiä ei noudeta dynaamisesti pilvestä, ja ne testataan laajasti, jolloin asiakkaat voivat hallita käyttöönottoa kalustossaan.

Sitä vastoin nopean vastauksen sisältö koostuu patentoiduista binääritiedostoista, jotka sisältävät konfigurointitietoja, jotka parantavat laitteen näkyvyyttä ja havaitsemista koodia muuttamatta. Tämä sisältö on validoitu komponentilla, joka on suunniteltu varmistamaan eheys ennen jakelua. Kuitenkin 19. heinäkuuta julkaistu päivitys, jonka tarkoituksena oli puuttua uusiin hyökkäystekniikoihin, joissa hyödynnetään nimettyjä putkia, paljasti kriittisen puutteen.

Validaattori, johon on luotettu maaliskuusta lähtien, sisälsi virheen, joka mahdollisti viallisen päivityksen läpäisemisen. Koska lisätestauksia ei tehty, päivitys otettiin käyttöön, minkä seurauksena noin 8,5 miljoonaa Windows-laitetta koki Blue Screen of Death (BSOD) -silmukan . Tämä kaatuminen johtui rajojen ulkopuolisesta muistin lukemisesta, joka aiheutti käsittelemättömän poikkeuksen. Vaikka CrowdStriken sisällöntulkkikomponentti on suunniteltu hallitsemaan tällaisia poikkeuksia, tätä ongelmaa ei käsitelty riittävästi.

Vastauksena tähän tapaukseen CrowdStrike on sitoutunut parantamaan nopean vastauksen sisällön testausprotokollia. Suunniteltuja parannuksia ovat paikallisten kehittäjien testaus, kattava päivitys- ja palautustestaus, stressitestaus, fuzzing, vakaustestaus ja käyttöliittymätestaukset. Sisällöntarkistusohjelma saa lisätarkistuksia, ja virheenkäsittelyprosesseja vahvistetaan. Lisäksi nopean reagoinnin sisällölle otetaan käyttöön porrastettu käyttöönottostrategia, joka tarjoaa asiakkaille paremman hallinnan näiden päivitysten suhteen.

Maanantaina CrowdStrike ilmoitti nopeutetusta korjaussuunnitelmasta järjestelmille, joihin virheellinen päivitys vaikuttaa, ja merkittävää edistystä on jo saavutettu vahingoittuneiden laitteiden palauttamisessa. Tapaus, jota pidettiin yhtenä historian vakavimmista IT-vioista, johti suuriin häiriöihin eri sektoreilla, mukaan lukien ilmailu, rahoitus, terveydenhuolto ja koulutus.

Jälkikäteen Yhdysvaltain edustajainhuoneen johtajat kehottavat CrowdStriken toimitusjohtajaa George Kurtzia todistamaan kongressille yhtiön osallisuudesta laajaan seisokkiin. Sillä välin organisaatioita ja käyttäjiä on varoitettu tietojenkalastelun, huijausten ja haittaohjelmayritysten lisääntymisestä, jotka hyödyntävät tätä tapausta.

Tämä tapahtuma korostaa kriittistä tarvetta vankille testaus- ja validointiprosesseille kyberturvallisuuden alalla tällaisten laajalle levinneiden häiriöiden estämiseksi tulevaisuudessa.