CrowdStrike Memecahkan Mengapa Kemas Kini Buruk pada Microsoft Windows Menjejaskan Berjuta-juta Tidak Diuji Dengan Betul
Pada hari Rabu, CrowdStrike mendedahkan pandangan daripada semakan awal pasca kejadian mereka, menjelaskan sebab kemas kini Microsoft Windows baru-baru ini yang menyebabkan gangguan meluas tidak dikesan semasa ujian dalaman. Insiden ini, memberi kesan kepada berjuta-juta di seluruh dunia, telah menyerlahkan kelemahan kritikal dalam proses pengesahan kemas kini.
CrowdStrike, firma keselamatan siber terkemuka, menyediakan dua jenis kemas kini konfigurasi kandungan keselamatan yang berbeza kepada ejen Falconnya: kandungan sensor dan kandungan tindak balas pantas. Kemas kini kandungan sensor menawarkan keupayaan menyeluruh untuk tindak balas musuh dan pengesanan ancaman jangka panjang. Kemas kini ini tidak diambil secara dinamik daripada awan dan menjalani ujian yang meluas, membolehkan pelanggan mengawal penggunaan merentas kumpulan mereka.
Sebaliknya, kandungan tindak balas pantas terdiri daripada fail binari proprietari yang mengandungi data konfigurasi untuk meningkatkan keterlihatan dan pengesanan peranti tanpa mengubah suai kod. Kandungan ini disahkan oleh komponen yang direka untuk memastikan integriti sebelum pengedaran. Walau bagaimanapun, kemas kini yang dikeluarkan pada 19 Julai, bertujuan untuk menangani teknik serangan novel yang mengeksploitasi paip bernama, mendedahkan kecacatan kritikal.
Pengesah, yang dipercayai sejak Mac, mengandungi pepijat yang membenarkan kemas kini yang rosak untuk lulus pengesahan. Disebabkan ketiadaan ujian tambahan, kemas kini telah digunakan, menyebabkan kira-kira 8.5 juta peranti Windows mengalami gelung Skrin Kematian Biru (BSOD) . Ranap sistem ini berpunca daripada bacaan memori di luar sempadan yang menyebabkan pengecualian tidak terurus. Walaupun komponen penterjemah kandungan CrowdStrike direka untuk mengurus pengecualian sedemikian, isu khusus ini tidak ditangani dengan secukupnya.
Sebagai tindak balas kepada insiden ini, CrowdStrike komited untuk mempertingkatkan protokol ujian untuk kandungan tindak balas pantas. Pembaikan yang dirancang termasuk ujian pembangun tempatan, kemas kini komprehensif dan ujian balik, ujian tekanan, kabur, ujian kestabilan dan ujian antara muka. Pengesah kandungan akan menerima semakan tambahan dan proses pengendalian ralat akan diperkukuh. Selain itu, strategi penggunaan berperingkat untuk kandungan respons pantas akan dilaksanakan, memberikan pelanggan kawalan yang lebih besar ke atas kemas kini ini.
Pada hari Isnin, CrowdStrike mengumumkan pelan pemulihan dipercepatkan untuk sistem yang terjejas oleh kemas kini yang cacat, dengan kemajuan ketara telah dicapai dalam memulihkan peranti yang terjejas. Insiden itu, yang dianggap sebagai salah satu kegagalan IT paling teruk dalam sejarah, mengakibatkan gangguan besar merentasi pelbagai sektor, termasuk penerbangan, kewangan, penjagaan kesihatan dan pendidikan.
Selepas itu, pemimpin Dewan AS menggesa Ketua Pegawai Eksekutif CrowdStrike George Kurtz untuk memberi keterangan di hadapan Kongres berhubung penglibatan syarikat dalam gangguan yang meluas. Sementara itu, organisasi dan pengguna telah dimaklumkan tentang peningkatan dalam pancingan data, penipuan dan percubaan perisian hasad yang mengeksploitasi kejadian ini.
Peristiwa ini menggariskan keperluan kritikal untuk proses ujian dan pengesahan yang teguh dalam keselamatan siber untuk mengelakkan gangguan yang berleluasa itu pada masa hadapan.