CrowdStrike는 수백만 명에게 영향을 미치는 Microsoft Windows의 잘못된 업데이트가 제대로 테스트되지 않은 이유를 분석합니다.
수요일에 CrowdStrike는 예비 사고 후 검토에서 얻은 통찰력을 공개하여 광범위한 중단을 초래한 최근 Microsoft Windows 업데이트가 내부 테스트 중에 감지되지 않은 이유를 밝혔습니다. 전 세계적으로 수백만 명에게 영향을 미친 이 사건은 업데이트 유효성 검사 프로세스의 심각한 결함을 부각시켰습니다.
선도적인 사이버 보안 회사인 CrowdStrike는 Falcon 에이전트에 센서 콘텐츠와 신속한 응답 콘텐츠라는 두 가지 유형의 보안 콘텐츠 구성 업데이트를 제공합니다. 센서 콘텐츠 업데이트는 적의 대응과 장기적인 위협 탐지를 위한 포괄적인 기능을 제공합니다. 이러한 업데이트는 클라우드에서 동적으로 가져오지 않으며 광범위한 테스트를 거치므로 고객은 전체 제품군에 걸쳐 배포를 제어할 수 있습니다.
이와 대조적으로 신속한 응답 콘텐츠는 코드 수정 없이 장치 가시성과 탐지를 향상시키기 위한 구성 데이터가 포함된 독점 바이너리 파일로 구성됩니다. 이 콘텐츠는 배포 전에 무결성을 보장하도록 설계된 구성 요소에 의해 검증됩니다. 그러나 네임드 파이프를 이용한 새로운 공격 기법을 해결하기 위해 7월 19일에 발표된 업데이트에서는 심각한 결함이 드러났습니다.
3월부터 의존해 온 유효성 검사기에는 잘못된 업데이트가 유효성 검사를 통과하도록 허용하는 버그가 포함되어 있었습니다. 추가 테스트가 없었기 때문에 업데이트가 배포되었고 그 결과 약 850만 대의 Windows 장치에서 BSOD(블루 스크린 오브 데스) 루프가 발생했습니다 . 이 충돌은 범위를 벗어난 메모리 읽기로 인해 처리되지 않은 예외가 발생하여 발생했습니다. CrowdStrike의 콘텐츠 해석기 구성 요소는 이러한 예외를 관리하도록 설계되었지만 이 특정 문제는 적절하게 해결되지 않았습니다.
이 사건에 대응하여 CrowdStrike는 신속한 대응 콘텐츠에 대한 테스트 프로토콜을 강화하기 위해 최선을 다하고 있습니다. 계획된 개선에는 로컬 개발자 테스트, 포괄적인 업데이트 및 롤백 테스트, 스트레스 테스트, 퍼징, 안정성 테스트 및 인터페이스 테스트가 포함됩니다. 콘텐츠 유효성 검사기는 추가 검사를 받게 되며 오류 처리 프로세스가 강화됩니다. 또한 신속한 응답 콘텐츠를 위한 시차적 배포 전략이 구현되어 고객이 이러한 업데이트를 보다 효과적으로 제어할 수 있습니다.
월요일에 CrowdStrike는 결함이 있는 업데이트의 영향을 받은 시스템에 대한 가속화된 수정 계획을 발표했으며, 영향을 받은 장치를 복원하는 데 이미 상당한 진전이 있었습니다. 역사상 가장 심각한 IT 실패 중 하나로 간주되는 이 사건은 항공, 금융, 의료, 교육 등 다양한 부문에 걸쳐 큰 혼란을 가져왔습니다.
그 여파로 미국 하원 지도자들은 CrowdStrike CEO인 George Kurtz에게 회사가 대규모 정전에 관여했다는 사실을 의회에서 증언할 것을 촉구했습니다. 한편, 조직과 사용자는 이 사건을 악용하는 피싱, 사기, 악성 코드 시도가 증가하고 있다는 경고를 받았습니다.
이번 행사는 향후 이러한 광범위한 중단을 방지하기 위해 사이버 보안에 있어 강력한 테스트 및 검증 프로세스의 중요한 필요성을 강조합니다.