A CrowdStrike felbomlott, miért nem tesztelték megfelelően a Microsoft Windows milliókat érintő rossz frissítését

Szerdán a CrowdStrike nyilvánosságra hozta az incidens utáni előzetes felülvizsgálatából származó betekintést, rávilágítva arra, miért nem észlelték a Microsoft Windows legújabb frissítését, amely széleskörű fennakadást okozott a belső tesztelés során. Ez az incidens, amely világszerte milliókat érint, rávilágított a frissítési ellenőrzési folyamat kritikus hibáira.

A CrowdStrike, a vezető kiberbiztonsági cég két különböző típusú biztonsági tartalom-konfigurációs frissítést biztosít Falcon ügynökéhez: szenzortartalom és gyors reagálású tartalom. A szenzortartalom-frissítések átfogó képességeket kínálnak az ellenséges reakcióhoz és a hosszú távú fenyegetésészleléshez. Ezek a frissítések nem dinamikusan kerülnek lekérésre a felhőből, és kiterjedt tesztelésen esnek át, lehetővé téve az ügyfelek számára, hogy irányítsák a telepítést a flottájukon.

Ezzel szemben a gyors reagálású tartalom saját fejlesztésű bináris fájlokból áll, amelyek konfigurációs adatokat tartalmaznak az eszköz láthatóságának és észlelésének javítása érdekében a kód módosítása nélkül. Ezt a tartalmat egy olyan összetevő ellenőrzi, amely a terjesztés előtt biztosítja az integritást. A július 19-én kiadott frissítés azonban, amelynek célja a nevezett csöveket kihasználó újszerű támadási technikák kezelése, egy kritikus hibát tárt fel.

A március óta használt érvényesítő olyan hibát tartalmazott, amely lehetővé tette, hogy a hibás frissítés átmenjen az érvényesítésen. A további tesztelés hiánya miatt a frissítést telepítették, aminek eredményeként körülbelül 8,5 millió Windows-eszköz tapasztalt Blue Screen of Death (BSOD) hurkot . Ez az összeomlás egy határon túli memóriaolvasásból ered, amely kezeletlen kivételt okozott. Bár a CrowdStrike tartalomértelmező összetevője az ilyen kivételek kezelésére készült, ezt a problémát nem kezelték megfelelően.

Erre az incidensre válaszul a CrowdStrike elkötelezett amellett, hogy javítsa a gyors reagálású tartalom tesztelési protokolljait. A tervezett fejlesztések közé tartozik a helyi fejlesztői tesztelés, az átfogó frissítési és visszaállítási tesztelés, a stresszteszt, a fuzzing, a stabilitásteszt és az interfész tesztelése. A tartalomellenőrző további ellenőrzéseket kap, és megerősítik a hibakezelési folyamatokat. Ezen túlmenően a gyors reagálású tartalom lépcsőzetes telepítési stratégiája is bevezetésre kerül, amely lehetővé teszi az ügyfelek számára, hogy jobban ellenőrizzék ezeket a frissítéseket.

Hétfőn a CrowdStrike gyorsított helyreállítási tervet jelentett be a hibás frissítés által érintett rendszerekre, és már jelentős előrelépés történt az érintett eszközök helyreállításában. Az incidens, amelyet a történelem egyik legsúlyosabb informatikai kudarcának tartottak, jelentős fennakadásokat okozott különböző ágazatokban, beleértve a légi közlekedést, a pénzügyet, az egészségügyet és az oktatást.

Ezt követően az amerikai képviselőház vezetői arra szólítják fel a CrowdStrike vezérigazgatóját, George Kurtz-et, hogy tanúskodjon a Kongresszus előtt a vállalat részvételével kapcsolatban a kiterjedt üzemzavarban. Eközben a szervezetek és a felhasználók figyelmeztetést kaptak az adathalászat, a csalások és az ezt az incidenst kihasználó rosszindulatú programok megnövekedésére.

Ez az esemény rávilágít a robusztus tesztelési és érvényesítési folyamatok kritikus szükségességére a kiberbiztonság területén, hogy megelőzzük az ilyen széles körű zavarokat a jövőben.