CrowdStrike bryter ned hvorfor dårlig oppdatering til Microsoft Windows som påvirker millioner, ikke ble ordentlig testet

På onsdag avslørte CrowdStrike innsikt fra deres foreløpige gjennomgang etter hendelsen, og kastet lys over hvorfor en nylig Microsoft Windows-oppdatering som forårsaket omfattende forstyrrelser ikke ble oppdaget under intern testing. Denne hendelsen, som påvirker millioner globalt, har fremhevet kritiske feil i oppdateringsvalideringsprosessen.

CrowdStrike, et ledende cybersikkerhetsfirma, tilbyr to forskjellige typer sikkerhetsinnholdskonfigurasjonsoppdateringer til sin Falcon-agent: sensorinnhold og hurtigresponsinnhold. Sensorinnholdsoppdateringer tilbyr omfattende muligheter for motstandsrespons og langsiktig trusseldeteksjon. Disse oppdateringene hentes ikke dynamisk fra skyen og gjennomgår omfattende testing, slik at kundene kan kontrollere distribusjonen på tvers av flåtene sine.

I kontrast består hurtigresponsinnhold av proprietære binære filer som inneholder konfigurasjonsdata for å forbedre enhetens synlighet og deteksjon uten å endre kode. Dette innholdet er validert av en komponent designet for å sikre integritet før distribusjon. Oppdateringen utgitt 19. juli, rettet mot nye angrepsteknikker som utnytter navngitte rør, avslørte imidlertid en kritisk feil.

Validatoren, som har vært avhengig av siden mars, inneholdt en feil som tillot den defekte oppdateringen å bestå validering. På grunn av fraværet av ytterligere testing, ble oppdateringen distribuert, noe som resulterte i at omtrent 8,5 millioner Windows-enheter opplevde en Blue Screen of Death (BSOD) loop . Denne krasjen stammet fra en minnelesing utenfor grensene som forårsaket et uhåndtert unntak. Selv om CrowdStrikes innholdstolkkomponent er designet for å håndtere slike unntak, ble ikke dette spesielle problemet behandlet tilstrekkelig.

Som svar på denne hendelsen er CrowdStrike forpliktet til å forbedre testprotokollene for hurtigresponsinnhold. Planlagte forbedringer inkluderer lokal utviklertesting, omfattende oppdaterings- og tilbakeføringstesting, stresstesting, fuzzing, stabilitetstesting og grensesnitttesting. Innholdsvalidatoren vil motta ytterligere kontroller, og feilhåndteringsprosesser vil bli forsterket. Videre vil en forskjøvet distribusjonsstrategi for hurtigresponsinnhold implementeres, noe som gir kundene større kontroll over disse oppdateringene.

Mandag kunngjorde CrowdStrike en akselerert utbedringsplan for systemer som er berørt av den feilaktige oppdateringen, med betydelige fremskritt som allerede er gjort med å gjenopprette berørte enheter. Hendelsen, regnet som en av de mest alvorlige IT-feilene i historien, resulterte i store forstyrrelser på tvers av ulike sektorer, inkludert luftfart, finans, helsevesen og utdanning.

I kjølvannet oppfordrer amerikanske husledere CrowdStrike-sjef George Kurtz til å vitne for kongressen angående selskapets involvering i det omfattende strømbruddet. I mellomtiden har organisasjoner og brukere blitt varslet om en økning i phishing, svindel og skadelig programvare som utnytter denne hendelsen.

Denne hendelsen understreker det kritiske behovet for robuste test- og valideringsprosesser innen cybersikkerhet for å forhindre slike omfattende forstyrrelser i fremtiden.