CrowdStrike מפרק מדוע עדכון רע ל-Microsoft Windows שהשפיע על מיליונים לא נבדק כראוי

ביום רביעי, CrowdStrike חשפו תובנות מהסקירה המקדימה שלהם לאחר התקרית, ושפכו אור על הסיבה שעדכון אחרון של Microsoft Windows שגרם להפרעה נרחבת לא זוהה במהלך בדיקות פנימיות. תקרית זו, המשפיעה על מיליונים ברחבי העולם, הדגישה פגמים קריטיים בתהליך אימות העדכונים.

CrowdStrike, חברת אבטחת סייבר מובילה, מספקת שני סוגים נפרדים של עדכוני תצורת תוכן אבטחה לסוכן Falcon שלה: תוכן חיישנים ותוכן תגובה מהירה. עדכוני תוכן חיישנים מציעים יכולות מקיפות לתגובת יריב וזיהוי איומים לטווח ארוך. עדכונים אלו אינם נשלפים באופן דינמי מהענן ועוברים בדיקות מקיפות, המאפשרות ללקוחות לשלוט בפריסה על פני הציים שלהם.

לעומת זאת, תוכן תגובה מהירה מורכב מקבצים בינאריים קנייניים המכילים נתוני תצורה כדי לשפר את הנראות והזיהוי של המכשיר מבלי לשנות את הקוד. תוכן זה מאומת על ידי רכיב שנועד להבטיח שלמות לפני ההפצה. עם זאת, העדכון שפורסם ב-19 ביולי, שמטרתו לטפל בטכניקות התקפה חדשות המנצלות צינורות בעלי שם, חשף פגם קריטי.

האימות, שעליו הסתמכו מאז מרץ, הכיל באג שאיפשר לעדכון הפגום לעבור אימות. עקב היעדר בדיקות נוספות, העדכון נפרס, וכתוצאה מכך כ -8.5 מיליון מכשירי Windows חוו לולאה של מסך מוות כחול (BSOD) . התרסקות זו נבעה מקריאה בזיכרון מחוץ לתחום שגרמה לחריג שלא מטופל. למרות שרכיב מתורגמן התוכן של CrowdStrike נועד לנהל חריגים כאלה, הנושא הספציפי הזה לא טופל כראוי.

בתגובה לאירוע זה, CrowdStrike מחויבת לשפר את פרוטוקולי הבדיקה לתוכן תגובה מהירה. שיפורים מתוכננים כוללים בדיקות מפתח מקומיות, בדיקות עדכון וחזרה מקיפות, בדיקות מאמץ, טשטוש, בדיקות יציבות ובדיקות ממשק. מאמת התוכן יקבל בדיקות נוספות, ותהליכי טיפול בשגיאות יתחזקו. יתר על כן, תיושם אסטרטגיית פריסה מדורגת לתוכן תגובה מהירה, שתספק ללקוחות שליטה רבה יותר על עדכונים אלו.

ביום שני, CrowdStrike הכריזה על תוכנית תיקון מואצת למערכות שהושפעו מהעדכון הפגום, עם התקדמות משמעותית כבר בשיחזור מכשירים שהושפעו. התקרית, שנחשבת לאחד מכשלי ה-IT החמורים בהיסטוריה, הביאה לשיבושים גדולים במגזרים שונים, כולל תעופה, פיננסים, שירותי בריאות וחינוך.

לאחר מכן, מנהיגי בית ארה"ב קוראים למנכ"ל CrowdStrike, ג'ורג' קורץ, להעיד בפני הקונגרס בנוגע למעורבות החברה בהפסקה הנרחבת. בינתיים, ארגונים ומשתמשים קיבלו התראה על עלייה בניסיונות דיוג, הונאות ותוכנות זדוניות המנצלות את האירוע הזה.

אירוע זה מדגיש את הצורך הקריטי בתהליכי בדיקה ואימות חזקים באבטחת סייבר כדי למנוע שיבושים נרחבים כאלה בעתיד.