CrowdStrike, Milyonları Etkileyen Kötü Microsoft Windows Güncellemesinin Neden Düzgün Test Edilmediğini Açıklıyor

Çarşamba günü CrowdStrike, olay sonrası ön incelemesinden elde edilen bilgileri açıklayarak, yaygın kesintiye neden olan yeni bir Microsoft Windows güncellemesinin dahili testler sırasında neden tespit edilemediğine ışık tuttu. Dünya çapında milyonları etkileyen bu olay, güncelleme doğrulama sürecindeki kritik kusurları ortaya çıkardı.

Önde gelen bir siber güvenlik firması olan CrowdStrike, Falcon aracısına iki farklı türde güvenlik içeriği yapılandırma güncellemesi sağlıyor: sensör içeriği ve hızlı yanıt içeriği. Sensör içeriği güncellemeleri, düşmana müdahale ve uzun vadeli tehdit tespiti için kapsamlı yetenekler sunar. Bu güncellemeler buluttan dinamik olarak getirilmiyor ve kapsamlı testlere tabi tutuluyor; bu da müşterilerin filoları genelinde dağıtımı kontrol etmesine olanak tanıyor.

Buna karşılık, hızlı yanıt içeriği, kodu değiştirmeden cihazın görünürlüğünü ve algılamasını geliştirmek için yapılandırma verilerini içeren özel ikili dosyalardan oluşur. Bu içerik, dağıtımdan önce bütünlüğü sağlayacak şekilde tasarlanmış bir bileşen tarafından doğrulanır. Ancak, adlandırılmış kanallardan yararlanan yeni saldırı tekniklerini ele almayı amaçlayan 19 Temmuz'da yayınlanan güncelleme, kritik bir kusuru ortaya çıkardı.

Mart ayından bu yana güvenilen doğrulayıcı, hatalı güncellemenin doğrulamayı geçmesine izin veren bir hata içeriyordu. Ek testlerin yapılmaması nedeniyle güncelleme dağıtıldı ve yaklaşık 8,5 milyon Windows cihazının Mavi Ölüm Ekranı (BSOD) döngüsü yaşamasıyla sonuçlandı. Bu kilitlenme, işlenmeyen bir özel duruma neden olan sınırların dışında bir bellek okumasından kaynaklandı. CrowdStrike'ın içerik yorumlayıcı bileşeni bu tür istisnaları yönetecek şekilde tasarlanmış olsa da, bu özel sorun yeterince ele alınmamıştır.

Bu olaya yanıt olarak CrowdStrike, hızlı yanıt içeriğine yönelik test protokollerini geliştirmeye kararlıdır. Planlanan iyileştirmeler arasında yerel geliştirici testleri, kapsamlı güncelleme ve geri alma testleri, stres testleri, bulanıklaştırma, kararlılık testleri ve arayüz testleri yer alıyor. İçerik doğrulayıcı ek kontroller alacak ve hata işleme süreçleri güçlendirilecek. Ayrıca hızlı yanıt içeriği için kademeli bir dağıtım stratejisi uygulanarak müşterilere bu güncellemeler üzerinde daha fazla kontrol sağlanacak.

Pazartesi günü CrowdStrike, hatalı güncellemeden etkilenen sistemler için hızlandırılmış bir iyileştirme planı duyurdu ve etkilenen cihazların geri yüklenmesinde önemli ilerleme kaydedildi. Tarihteki en ciddi BT başarısızlıklarından biri olarak kabul edilen olay, havacılık, finans, sağlık ve eğitim dahil olmak üzere çeşitli sektörlerde büyük aksaklıklara yol açtı.

Sonrasında ABD Temsilciler Meclisi liderleri, CrowdStrike CEO'su George Kurtz'u, şirketin kapsamlı kesintiye katılımı konusunda Kongre önünde ifade vermeye çağırıyor. Bu arada kuruluşlar ve kullanıcılar, bu olaydan yararlanan kimlik avı, dolandırıcılık ve kötü amaçlı yazılım girişimlerinde artış olduğu konusunda uyarıldı.

Bu etkinlik, gelecekte bu tür yaygın kesintileri önlemek için siber güvenlikte sağlam test ve doğrulama süreçlerine olan kritik ihtiyacın altını çiziyor.