Pinaghiwa-hiwalay ng CrowdStrike Kung Bakit Hindi Nasubukan nang Wasto ang Masamang Update sa Microsoft Windows na Nakakaapekto sa Milyun-milyon
Noong Miyerkules, ang CrowdStrike ay nagsiwalat ng mga insight mula sa kanilang paunang pagsusuri pagkatapos ng insidente, na nagbibigay-liwanag sa kung bakit ang isang kamakailang pag-update ng Microsoft Windows na nagdulot ng malawakang pagkagambala ay hindi nakita sa panahon ng panloob na pagsubok. Ang insidenteng ito, na nakakaapekto sa milyun-milyon sa buong mundo, ay nag-highlight ng mga kritikal na depekto sa proseso ng pagpapatunay ng update.
Ang CrowdStrike, isang nangungunang cybersecurity firm, ay nagbibigay ng dalawang natatanging uri ng mga update sa configuration ng content ng seguridad sa Falcon agent nito: content ng sensor at content ng mabilis na pagtugon. Ang mga update sa nilalaman ng sensor ay nag-aalok ng mga komprehensibong kakayahan para sa pagtugon ng kalaban at pangmatagalang pagtuklas ng pagbabanta. Ang mga update na ito ay hindi dynamic na kinukuha mula sa cloud at sumasailalim sa malawak na pagsubok, na nagbibigay-daan sa mga customer na kontrolin ang deployment sa kanilang mga fleet.
Sa kabaligtaran, ang content ng mabilis na pagtugon ay binubuo ng mga proprietary binary file na naglalaman ng data ng configuration upang mapahusay ang visibility at detection ng device nang hindi binabago ang code. Ang nilalamang ito ay napatunayan ng isang bahagi na idinisenyo upang matiyak ang integridad bago ang pamamahagi. Gayunpaman, ang pag-update na inilabas noong Hulyo 19, na naglalayong tugunan ang mga diskarte sa pag-atake ng nobela na nagsasamantala sa mga pinangalanang tubo, ay nagsiwalat ng isang kritikal na depekto.
Ang validator, na umasa mula noong Marso, ay naglalaman ng isang bug na nagpapahintulot sa maling update na pumasa sa pagpapatunay. Dahil sa kawalan ng karagdagang pagsubok, na-deploy ang update, na nagresulta sa humigit-kumulang 8.5 milyong Windows device na nakakaranas ng Blue Screen of Death (BSOD) loop . Ang pag-crash na ito ay nagmula sa isang out-of-bounds na memory read na nagdudulot ng hindi nahawakang exception. Bagama't ang bahagi ng content interpreter ng CrowdStrike ay idinisenyo upang pamahalaan ang mga naturang pagbubukod, ang partikular na isyung ito ay hindi natugunan nang sapat.
Bilang tugon sa insidenteng ito, nakatuon ang CrowdStrike na pahusayin ang mga protocol ng pagsubok para sa content ng mabilis na pagtugon. Kasama sa mga nakaplanong pagpapahusay ang pagsubok sa lokal na developer, komprehensibong pag-update at pagsubok ng rollback, pagsubok sa stress, pag-fuzzing, pagsubok sa katatagan, at pagsubok sa interface. Ang validator ng nilalaman ay makakatanggap ng mga karagdagang pagsusuri, at ang mga proseso ng paghawak ng error ay mapapatibay. Higit pa rito, ipapatupad ang isang staggered na diskarte sa pag-deploy para sa content ng mabilis na pagtugon, na magbibigay sa mga customer ng higit na kontrol sa mga update na ito.
Noong Lunes, inanunsyo ng CrowdStrike ang isang pinabilis na plano sa remediation para sa mga system na apektado ng maling pag-update, na may malaking pag-unlad na nagawa na sa pagpapanumbalik ng mga naapektuhang device. Ang insidente, na itinuturing na isa sa pinakamatinding pagkabigo sa IT sa kasaysayan, ay nagresulta sa malalaking pagkagambala sa iba't ibang sektor, kabilang ang abyasyon, pananalapi, pangangalaga sa kalusugan, at edukasyon.
Kasunod nito, hinihimok ng mga pinuno ng US House ang CrowdStrike CEO na si George Kurtz na tumestigo sa harap ng Kongreso hinggil sa pagkakasangkot ng kumpanya sa malawakang pagkawala. Samantala, inalertuhan ang mga organisasyon at user sa pagdami ng phishing, mga scam, at mga pagtatangka sa malware na nagsasamantala sa insidenteng ito.
Binibigyang-diin ng kaganapang ito ang kritikal na pangangailangan para sa matatag na proseso ng pagsubok at pagpapatunay sa cybersecurity upang maiwasan ang mga ganoong kalat na pagkagambala sa hinaharap.