CrowdStrike razkriva, zakaj slaba posodobitev sistema Microsoft Windows, ki je prizadela milijone, ni bila ustrezno testirana

V sredo je CrowdStrike razkril vpoglede iz svojega predhodnega pregleda po incidentu in osvetlil, zakaj nedavna posodobitev sistema Microsoft Windows, ki je povzročila obsežno motnjo, ni bila zaznana med internim testiranjem. Ta incident, ki je prizadel milijone po vsem svetu, je izpostavil kritične napake v postopku preverjanja posodobitve.

CrowdStrike, vodilno podjetje za kibernetsko varnost, zagotavlja dve različni vrsti posodobitev konfiguracije varnostne vsebine za svojega agenta Falcon: senzorsko vsebino in hitro odzivno vsebino. Posodobitve vsebine senzorjev ponujajo celovite zmogljivosti za odzivanje nasprotnikov in dolgoročno odkrivanje groženj. Te posodobitve niso dinamično pridobljene iz oblaka in so podvržene obsežnemu testiranju, kar strankam omogoča nadzor nad uvajanjem v njihovih flotah.

V nasprotju s tem je vsebina hitrega odziva sestavljena iz lastniških binarnih datotek, ki vsebujejo konfiguracijske podatke za izboljšanje vidnosti in zaznavanja naprave brez spreminjanja kode. To vsebino potrdi komponenta, ki je zasnovana za zagotavljanje celovitosti pred distribucijo. Vendar pa je posodobitev, izdana 19. julija, namenjena obravnavanju novih tehnik napada, ki izkoriščajo imenovane cevi, razkrila kritično napako.

Preverjevalnik, na katerega se zanašajo od marca, je vseboval napako, ki je omogočila, da je napačna posodobitev prestala preverjanje. Ker ni bilo dodatnih testiranj, je bila posodobitev uvedena, zaradi česar je približno 8,5 milijona naprav Windows doživelo zanko modrega zaslona smrti (BSOD) . Ta zrušitev je nastala zaradi branja izven meja pomnilnika, ki je povzročilo neobravnavano izjemo. Čeprav je komponenta tolmača vsebine CrowdStrike zasnovana za upravljanje takih izjem, ta posebna težava ni bila ustrezno obravnavana.

Kot odgovor na ta incident se CrowdStrike zavezuje, da bo izboljšal testne protokole za hitro odzivno vsebino. Načrtovane izboljšave vključujejo testiranje lokalnih razvijalcev, celovito testiranje posodobitev in povrnitve, testiranje izjemnih situacij, fuzzing, testiranje stabilnosti in testiranje vmesnika. Preverjalnik vsebine bo deležen dodatnih preverjanj, postopki za obravnavanje napak pa bodo okrepljeni. Poleg tega bo implementirana strategija postopnega uvajanja za hitro odzivno vsebino, ki bo strankam zagotavljala večji nadzor nad temi posodobitvami.

V ponedeljek je CrowdStrike objavil načrt pospešenega popravljanja sistemov, ki jih je prizadela pomanjkljiva posodobitev, pri čemer je že bil dosežen pomemben napredek pri obnavljanju prizadetih naprav. Incident, ki velja za enega najhujših okvar IT v zgodovini, je povzročil velike motnje v različnih sektorjih, vključno z letalstvom, financami, zdravstvom in izobraževanjem.

Po tem voditelji predstavniškega doma ZDA pozivajo izvršnega direktorja CrowdStrike Georgea Kurtza, naj priča pred kongresom glede vpletenosti podjetja v obsežni izpad. Medtem so bile organizacije in uporabniki opozorjeni na porast lažnega predstavljanja, prevar in poskusov zlonamerne programske opreme, ki izkoriščajo ta incident.

Ta dogodek poudarja kritično potrebo po robustnih procesih testiranja in validacije v kibernetski varnosti, da bi preprečili tako razširjene motnje v prihodnosti.