CrowdStrike dezvăluie de ce actualizarea proastă a Microsoft Windows care afectează milioane de oameni nu a fost testată corespunzător

Miercuri, CrowdStrike a dezvăluit informații din evaluarea lor preliminară post-incident, aruncând lumină asupra motivului pentru care o actualizare recentă Microsoft Windows care a cauzat întreruperi pe scară largă nu a fost detectată în timpul testării interne. Acest incident, care a afectat milioane la nivel global, a evidențiat defecte critice în procesul de validare a actualizării.

CrowdStrike, o firmă lider de securitate cibernetică, oferă două tipuri distincte de actualizări de configurare a conținutului de securitate agentului său Falcon: conținutul senzorilor și conținutul cu răspuns rapid. Actualizările conținutului senzorului oferă capabilități complete pentru răspunsul adversarului și detectarea amenințărilor pe termen lung. Aceste actualizări nu sunt preluate dinamic din cloud și sunt supuse unor teste extinse, permițând clienților să controleze implementarea în flotele lor.

În schimb, conținutul de răspuns rapid constă în fișiere binare proprietare care conțin date de configurare pentru a îmbunătăți vizibilitatea și detectarea dispozitivului fără modificarea codului. Acest conținut este validat de o componentă concepută pentru a asigura integritatea înainte de distribuire. Cu toate acestea, actualizarea lansată pe 19 iulie, menită să abordeze tehnici noi de atac care exploatează conductele numite, a dezvăluit o defecțiune critică.

Validatorul, pe care sa bazat încă din luna martie, conținea o eroare care permitea ca actualizarea defectuoasă să treacă validarea. Din cauza absenței unor teste suplimentare, actualizarea a fost implementată, ceea ce a dus la aproximativ 8,5 milioane de dispozitive Windows care se confruntă cu o buclă Blue Screen of Death (BSOD) . Această prăbușire a rezultat dintr-o citire de memorie în afara limitelor care a cauzat o excepție netratată. Deși componenta de interpret de conținut a CrowdStrike este concepută pentru a gestiona astfel de excepții, această problemă specială nu a fost abordată în mod adecvat.

Ca răspuns la acest incident, CrowdStrike se angajează să îmbunătățească protocoalele de testare pentru conținutul de răspuns rapid. Îmbunătățirile planificate includ testarea dezvoltatorilor locali, actualizarea cuprinzătoare și testarea rollback-ului, testarea la stres, fuzzing, testarea stabilității și testarea interfeței. Validatorul de conținut va primi verificări suplimentare, iar procesele de gestionare a erorilor vor fi consolidate. În plus, va fi implementată o strategie de implementare eșalonată pentru conținutul de răspuns rapid, oferind clienților un control mai mare asupra acestor actualizări.

Luni, CrowdStrike a anunțat un plan accelerat de remediere pentru sistemele afectate de actualizarea defectuoasă, cu progrese semnificative deja înregistrate în restaurarea dispozitivelor afectate. Incidentul, considerat unul dintre cele mai grave eșecuri IT din istorie, a dus la întreruperi majore în diferite sectoare, inclusiv aviație, finanțe, asistență medicală și educație.

În consecință, liderii Camerei SUA îndeamnă CEO-ul CrowdStrike, George Kurtz, să depună mărturie în fața Congresului cu privire la implicarea companiei în întreruperea extinsă. Între timp, organizațiile și utilizatorii au fost alertați cu privire la o creștere a numărului de tentative de phishing, escrocherii și programe malware care exploatează acest incident.

Acest eveniment subliniază necesitatea critică a unor procese solide de testare și validare în securitatea cibernetică pentru a preveni astfel de perturbări pe scară largă în viitor.