CrowdStrike wyjaśnia, dlaczego zła aktualizacja systemu Microsoft Windows, która miała wpływ na miliony osób, nie została prawidłowo przetestowana

W środę CrowdStrike ujawnił wnioski ze wstępnej analizy po incydencie, rzucając światło na to, dlaczego ostatnia aktualizacja systemu Microsoft Windows, która spowodowała powszechne zakłócenia, nie została wykryta podczas wewnętrznych testów. Ten incydent, który dotknął miliony ludzi na całym świecie, uwydatnił krytyczne błędy w procesie sprawdzania poprawności aktualizacji.

CrowdStrike, wiodąca firma zajmująca się bezpieczeństwem cybernetycznym, zapewnia dwa różne typy aktualizacji konfiguracji treści zabezpieczających dla swojego agenta Falcon: zawartość czujników i zawartość szybkiego reagowania. Aktualizacje zawartości czujników oferują kompleksowe możliwości reagowania na zagrożenia i długoterminowego wykrywania zagrożeń. Aktualizacje te nie są pobierane dynamicznie z chmury i przechodzą szeroko zakrojone testy, dzięki czemu klienci mogą kontrolować wdrażanie w swoich flotach.

Natomiast treść szybkiego reagowania składa się z zastrzeżonych plików binarnych zawierających dane konfiguracyjne w celu zwiększenia widoczności i wykrywania urządzenia bez modyfikowania kodu. Ta treść jest sprawdzana przez komponent zaprojektowany w celu zapewnienia integralności przed dystrybucją. Jednak aktualizacja wydana 19 lipca, mająca na celu rozwiązanie nowych technik ataków wykorzystujących nazwane potoki, ujawniła krytyczną wadę.

Walidator, na którym polegano od marca, zawierał błąd, który umożliwiał błędnej aktualizacji przejście walidacji. Ze względu na brak dodatkowych testów wdrożono aktualizację, w wyniku czego na około 8,5 milionach urządzeń z systemem Windows wystąpiła pętla niebieskiego ekranu śmierci (BSOD) . Przyczyną tej awarii był odczyt pamięci poza dopuszczalnym zakresem, powodujący nieobsługiwany wyjątek. Chociaż komponent interpretera treści CrowdStrike został zaprojektowany do zarządzania takimi wyjątkami, ten konkretny problem nie został odpowiednio rozwiązany.

W odpowiedzi na ten incydent CrowdStrike stara się ulepszyć protokoły testowania treści umożliwiających szybkie reagowanie. Planowane ulepszenia obejmują testowanie lokalnych programistów, kompleksowe testy aktualizacji i wycofywania zmian, testy obciążeniowe, fuzzing, testy stabilności i testowanie interfejsu. Walidator treści zostanie poddany dodatkowym kontrolom, a procesy obsługi błędów zostaną wzmocnione. Ponadto zostanie wdrożona strategia rozłożonego w czasie wdrażania treści szybkiego reagowania, zapewniając klientom większą kontrolę nad tymi aktualizacjami.

W poniedziałek firma CrowdStrike ogłosiła przyspieszony plan naprawy systemów dotkniętych wadliwą aktualizacją, przy czym poczyniono już znaczne postępy w przywracaniu uszkodzonych urządzeń. Incydent, uważany za jedną z najpoważniejszych awarii IT w historii, spowodował poważne zakłócenia w różnych sektorach, w tym w lotnictwie, finansach, służbie zdrowia i edukacji.

W następstwie tego przywódcy Izby Reprezentantów Stanów Zjednoczonych wzywają dyrektora generalnego CrowdStrike, George'a Kurtza, do złożenia przed Kongresem zeznań w sprawie udziału firmy w rozległej przerwie w dostawie prądu. Tymczasem organizacje i użytkownicy zostali powiadomieni o wzroście liczby phishingu, oszustw i prób wykorzystania tego incydentu przez złośliwe oprogramowanie.

To wydarzenie podkreśla krytyczną potrzebę solidnych procesów testowania i walidacji w zakresie cyberbezpieczeństwa, aby zapobiec tak powszechnym zakłóceniom w przyszłości.