CrowdStrike legt uit waarom een slechte update van Microsoft Windows, die miljoenen mensen treft, niet goed is getest
Woensdag maakte CrowdStrike inzichten bekend uit hun voorlopige beoordeling na het incident, en wierp licht op waarom een recente Microsoft Windows-update die wijdverbreide verstoring veroorzaakte, niet werd gedetecteerd tijdens interne tests. Dit incident, dat miljoenen mensen wereldwijd treft, heeft kritieke tekortkomingen in het updatevalidatieproces aan het licht gebracht.
CrowdStrike, een toonaangevend cyberbeveiligingsbedrijf, biedt twee verschillende soorten configuratie-updates voor beveiligingsinhoud aan zijn Falcon-agent: sensorinhoud en snelle responsinhoud. Updates van sensorinhoud bieden uitgebreide mogelijkheden voor de reactie van tegenstanders en detectie van bedreigingen op de lange termijn. Deze updates worden niet dynamisch uit de cloud opgehaald en ondergaan uitgebreide tests, waardoor klanten de implementatie in hun wagenpark kunnen controleren.
Rapid Response-inhoud bestaat daarentegen uit propriëtaire binaire bestanden met configuratiegegevens om de zichtbaarheid en detectie van apparaten te verbeteren zonder de code te wijzigen. Deze inhoud wordt gevalideerd door een component die is ontworpen om de integriteit vóór distributie te garanderen. De update die op 19 juli werd uitgebracht en die gericht was op het aanpakken van nieuwe aanvalstechnieken waarbij gebruik wordt gemaakt van Name Pipes, bracht echter een kritieke fout aan het licht.
De validator, waarop we sinds maart vertrouwen, bevatte een bug waardoor de foutieve update door de validatie kon komen. Omdat aanvullende tests uitbleven, werd de update geïmplementeerd, waardoor ongeveer 8,5 miljoen Windows-apparaten een Blue Screen of Death (BSOD)-lus ondervonden . Deze crash was het gevolg van een geheugenleesfout buiten het bereik, waardoor een onverwerkte uitzondering ontstond. Hoewel de contentinterpreter-component van CrowdStrike is ontworpen om dergelijke uitzonderingen te beheren, werd dit specifieke probleem niet adequaat aangepakt.
Als reactie op dit incident zet CrowdStrike zich in voor het verbeteren van de testprotocollen voor snelle respons-inhoud. Geplande verbeteringen zijn onder meer testen door lokale ontwikkelaars, uitgebreide update- en rollback-testen, stresstesten, fuzzing, stabiliteitstesten en interfacetesten. De inhoudvalidator krijgt extra controles en de foutafhandelingsprocessen worden versterkt. Bovendien zal er een gespreide implementatiestrategie voor snelle respons-inhoud worden geïmplementeerd, waardoor klanten meer controle over deze updates krijgen.
Maandag kondigde CrowdStrike een versneld herstelplan aan voor systemen die getroffen zijn door de gebrekkige update, waarbij al aanzienlijke vooruitgang is geboekt bij het herstellen van de getroffen apparaten. Het incident, dat wordt beschouwd als een van de ernstigste IT-storingen in de geschiedenis, resulteerde in grote verstoringen in verschillende sectoren, waaronder de luchtvaart, de financiële sector, de gezondheidszorg en het onderwijs.
In de nasleep dringen de leiders van het Amerikaanse Huis van Afgevaardigden er bij CrowdStrike CEO George Kurtz op aan om voor het Congres te getuigen over de betrokkenheid van het bedrijf bij de uitgebreide stroomstoring. Intussen zijn organisaties en gebruikers gewaarschuwd voor een toename van het aantal phishing-, oplichtings- en malwarepogingen waarbij misbruik wordt gemaakt van dit incident.
Deze gebeurtenis onderstreept de cruciale behoefte aan robuuste test- en validatieprocessen op het gebied van cyberbeveiliging om dergelijke wijdverbreide verstoringen in de toekomst te voorkomen.