CrowdStrike otkriva zašto loše ažuriranje Microsoft Windowsa koje utječe na milijune nije ispravno testirano

U srijedu, CrowdStrike je otkrio uvide iz svoje preliminarne recenzije nakon incidenta, bacajući svjetlo na to zašto nedavno ažuriranje sustava Microsoft Windows koje je uzrokovalo široke poremećaje nije otkriveno tijekom internog testiranja. Ovaj incident, koji je utjecao na milijune diljem svijeta, istaknuo je kritične nedostatke u procesu provjere valjanosti ažuriranja.

CrowdStrike, vodeća tvrtka za kibernetičku sigurnost, pruža dvije različite vrste ažuriranja konfiguracije sigurnosnog sadržaja za svog agenta Falcon: sadržaj senzora i sadržaj za brzi odgovor. Ažuriranja sadržaja senzora nude sveobuhvatne mogućnosti za odgovor protivnika i dugoročno otkrivanje prijetnji. Ova se ažuriranja ne dohvaćaju dinamički iz oblaka i podvrgavaju se opsežnom testiranju, omogućujući korisnicima da kontroliraju implementaciju u svojim flotama.

Nasuprot tome, sadržaj za brzi odgovor sastoji se od vlasničkih binarnih datoteka koje sadrže konfiguracijske podatke za poboljšanje vidljivosti i detekcije uređaja bez mijenjanja koda. Ovaj sadržaj provjerava komponenta dizajnirana da osigura integritet prije distribucije. Međutim, ažuriranje objavljeno 19. srpnja, usmjereno na rješavanje novih tehnika napada koje iskorištavaju imenovane cijevi, otkrilo je kritičnu grešku.

Validator, na koji se oslanja od ožujka, sadržavao je grešku koja je dopuštala neispravnom ažuriranju da prođe provjeru valjanosti. Zbog izostanka dodatnog testiranja, ažuriranje je implementirano, što je rezultiralo time da se oko 8,5 milijuna Windows uređaja susrelo s petljom Plavog ekrana smrti (BSOD) . Ovaj pad proizašao je iz čitanja memorije izvan granica koje je uzrokovalo neobrađenu iznimku. Iako je CrowdStrikeova komponenta tumača sadržaja dizajnirana za upravljanje takvim iznimkama, ovaj problem nije adekvatno riješen.

Kao odgovor na ovaj incident, CrowdStrike je predan poboljšanju protokola testiranja za sadržaj s brzim odgovorom. Planirana poboljšanja uključuju testiranje lokalnog programera, sveobuhvatno testiranje ažuriranja i povrata, testiranje stresa, fuzzing, testiranje stabilnosti i testiranje sučelja. Validator sadržaja će dobiti dodatne provjere, a procesi obrade grešaka bit će ojačani. Nadalje, implementirat će se postupna strategija implementacije za sadržaj s brzim odgovorom, pružajući korisnicima veću kontrolu nad ovim ažuriranjima.

U ponedjeljak je CrowdStrike najavio ubrzani plan popravka za sustave pogođene ažuriranjem s nedostacima, uz značajan napredak koji je već postignut u vraćanju pogođenih uređaja. Incident, koji se smatra jednim od najtežih IT kvarova u povijesti, rezultirao je velikim poremećajima u raznim sektorima, uključujući zrakoplovstvo, financije, zdravstvo i obrazovanje.

Nakon toga, čelnici Predstavničkog doma američkog Kongresa pozivaju izvršnog direktora CrowdStrikea Georgea Kurtza da svjedoči pred Kongresom u vezi s umiješanošću tvrtke u opsežni prekid rada. U međuvremenu, organizacije i korisnici upozoreni su na porast pokušaja krađe identiteta, prijevara i zlonamjernog softvera koji iskorištavaju ovaj incident.

Ovaj događaj naglašava kritičnu potrebu za robusnim procesima testiranja i validacije u kibernetičkoj sigurnosti kako bi se spriječili takvi rasprostranjeni poremećaji u budućnosti.