CrowdStrike rozoberá, prečo nebola riadne otestovaná zlá aktualizácia systému Microsoft Windows ovplyvňujúca milióny ľudí
V stredu CrowdStrike zverejnil poznatky z ich predbežného preskúmania po incidente, čím objasnil, prečo nebola počas interného testovania zistená nedávna aktualizácia systému Microsoft Windows, ktorá spôsobila rozsiahle narušenie . Tento incident, ktorý zasiahol milióny ľudí na celom svete, poukázal na kritické chyby v procese overovania aktualizácií.
CrowdStrike, popredná spoločnosť zaoberajúca sa kybernetickou bezpečnosťou, poskytuje svojmu agentovi Falcon dva odlišné typy aktualizácií konfigurácie bezpečnostného obsahu: obsah senzorov a obsah rýchlej odozvy. Aktualizácie obsahu senzorov ponúkajú komplexné možnosti pre reakciu protivníka a dlhodobú detekciu hrozieb. Tieto aktualizácie nie sú dynamicky načítané z cloudu a prechádzajú rozsiahlym testovaním, čo umožňuje zákazníkom kontrolovať nasadenie v rámci ich vozových parkov.
Na rozdiel od toho, obsah rýchlej odozvy pozostáva z proprietárnych binárnych súborov obsahujúcich konfiguračné údaje na zlepšenie viditeľnosti a detekcie zariadenia bez úpravy kódu. Tento obsah je overený komponentom navrhnutým na zabezpečenie integrity pred distribúciou. Avšak aktualizácia vydaná 19. júla, zameraná na riešenie nových útočných techník využívajúcich pomenované potrubia, odhalila kritickú chybu.
Validátor, na ktorý sa spoliehal od marca, obsahoval chybu, ktorá umožnila chybnej aktualizácii prejsť overením. Kvôli absencii dodatočného testovania bola aktualizácia nasadená, čo viedlo k tomu, že približne 8,5 milióna zariadení so systémom Windows zaznamenalo slučku modrej obrazovky smrti (BSOD) . Toto zlyhanie pochádzalo z čítania mimo hranice pamäte, čo spôsobilo neošetrenú výnimku. Hoci komponent interpreta obsahu CrowdStrike je navrhnutý tak, aby spravoval takéto výnimky, tento konkrétny problém nebol adekvátne vyriešený.
V reakcii na tento incident sa CrowdStrike zaviazal vylepšiť testovacie protokoly pre obsah rýchlej reakcie. Plánované vylepšenia zahŕňajú testovanie lokálnych vývojárov, komplexné testovanie aktualizácií a návratov, záťažové testovanie, fuzzing, testovanie stability a testovanie rozhrania. Validátor obsahu dostane ďalšie kontroly a procesy spracovania chýb budú posilnené. Okrem toho bude implementovaná stratégia postupného nasadzovania obsahu rýchlej reakcie, ktorá zákazníkom poskytne väčšiu kontrolu nad týmito aktualizáciami.
V pondelok CrowdStrike oznámil zrýchlený plán nápravy pre systémy ovplyvnené chybnou aktualizáciou, pričom sa už dosiahol významný pokrok v obnove postihnutých zariadení. Incident, považovaný za jedno z najzávažnejších zlyhaní IT v histórii, mal za následok veľké narušenie v rôznych sektoroch vrátane letectva, financií, zdravotníctva a vzdelávania.
Vedúci predstavitelia Snemovne reprezentantov v USA následne naliehajú na generálneho riaditeľa CrowdStrike Georga Kurtza, aby pred Kongresom svedčil o účasti spoločnosti na rozsiahlom výpadku. Organizácie a používatelia boli medzitým upozornení na nárast phishingu, podvodov a pokusov o malvér využívajúci tento incident.
Táto udalosť podčiarkuje kritickú potrebu robustných testovacích a overovacích procesov v oblasti kybernetickej bezpečnosti, aby sa zabránilo takýmto rozsiahlym narušeniam v budúcnosti.