O CrowdStrike Explica Por que a Atualização Incorreta do Microsoft Windows que Afeta Milhões de Pessoas não foi Testada Adequadamente
Na quarta-feira, a CrowdStrike divulgou insights de sua análise preliminar pós-incidente, esclarecendo por que uma atualização recente do Microsoft Windows que causou interrupção generalizada não foi detectada durante os testes internos. Este incidente, que impactou milhões de pessoas em todo o mundo, destacou falhas críticas no processo de validação de atualizações.
CrowdStrike, uma empresa líder em segurança cibernética, fornece dois tipos distintos de atualizações de configuração de conteúdo de segurança para seu agente Falcon: conteúdo de sensor e conteúdo de resposta rápida. As atualizações de conteúdo do sensor oferecem recursos abrangentes para resposta a adversários e detecção de ameaças de longo prazo. Essas atualizações não são buscadas dinamicamente na nuvem e passam por testes extensivos, permitindo que os clientes controlem a implantação em suas frotas.
Por outro lado, o conteúdo de resposta rápida consiste em arquivos binários proprietários contendo dados de configuração para melhorar a visibilidade e detecção do dispositivo sem modificar o código. Este conteúdo é validado por um componente projetado para garantir a integridade antes da distribuição. No entanto, a atualização lançada em 19 de julho, destinada a abordar novas técnicas de ataque que exploram pipes nomeados, revelou uma falha crítica.
O validador, usado desde março, continha um bug que permitia que a atualização defeituosa passasse na validação. Devido à ausência de testes adicionais, a atualização foi implantada, resultando em aproximadamente 8,5 milhões de dispositivos Windows enfrentando um loop de Tela Azul da Morte (BSOD). Essa falha resultou de uma leitura de memória fora dos limites, causando uma exceção não tratada. Embora o componente interpretador de conteúdo do CrowdStrike seja projetado para gerenciar tais exceções, esse problema específico não foi abordado de forma adequada.
Em resposta a este incidente, a CrowdStrike está empenhada em melhorar os protocolos de teste para conteúdo de resposta rápida. As melhorias planejadas incluem testes de desenvolvedores locais, testes abrangentes de atualização e reversão, testes de estresse, difusão, testes de estabilidade e testes de interface. O validador de conteúdo receberá verificações adicionais e os processos de tratamento de erros serão fortalecidos. Além disso, será implementada uma estratégia de implantação escalonada para conteúdo de resposta rápida, proporcionando aos clientes maior controle sobre essas atualizações.
Na segunda-feira, a CrowdStrike anunciou um plano de remediação acelerado para sistemas afetados pela atualização defeituosa, com progressos significativos já alcançados na restauração dos dispositivos afetados. O incidente, considerado uma das falhas de TI mais graves da história, resultou em grandes perturbações em vários sectores, incluindo aviação, finanças, saúde e educação.
Na sequência, os líderes da Câmara dos EUA estão instando o CEO da CrowdStrike, George Kurtz, a testemunhar perante o Congresso sobre o envolvimento da empresa na extensa interrupção. Enquanto isso, organizações e usuários foram alertados sobre um aumento nas tentativas de phishing, golpes e malware que exploram esse incidente.
Este evento sublinha a necessidade crítica de processos robustos de testes e validação em segurança cibernética para evitar perturbações tão generalizadas no futuro.