CrowdStrike пояснює, чому погане оновлення Microsoft Windows, яке вплинуло на мільйони, не було належним чином перевірено

У середу CrowdStrike оприлюднила інформацію зі свого попереднього огляду після інциденту, проливаючи світло на те, чому нещодавнє оновлення Microsoft Windows, яке спричинило масові збої, не було виявлено під час внутрішнього тестування. Цей інцидент, який торкнувся мільйонів людей у всьому світі, виявив критичні недоліки в процесі перевірки оновлень.

CrowdStrike, провідна компанія з кібербезпеки, надає два різні типи оновлень конфігурації вмісту безпеки для свого агента Falcon: вміст датчиків і вміст швидкого реагування. Оновлення вмісту датчиків пропонують комплексні можливості для реагування зловмисників і довгострокового виявлення загроз. Ці оновлення не завантажуються динамічно з хмари та проходять ретельне тестування, що дозволяє клієнтам контролювати розгортання у своїх парках.

Навпаки, вміст швидкого реагування складається з пропрієтарних двійкових файлів, що містять конфігураційні дані для покращення видимості та виявлення пристрою без зміни коду. Цей вміст перевіряється компонентом, призначеним для забезпечення цілісності перед розповсюдженням. Однак оновлення, випущене 19 липня, спрямоване на вирішення нових методів атаки з використанням іменованих каналів, виявило критичну ваду.

Валідатор, на який покладаються з березня, містив помилку, яка дозволяла несправному оновленню пройти перевірку. Через відсутність додаткового тестування оновлення було розгорнуто, в результаті чого приблизно 8,5 мільйонів пристроїв Windows зіткнулися з синім екраном смерті (BSOD) . Цей збій стався через читання поза межами пам’яті, що спричинило необроблений виняток. Хоча компонент інтерпретатора вмісту CrowdStrike розроблено для керування такими винятками, ця конкретна проблема не була належним чином вирішена.

У відповідь на цей інцидент CrowdStrike прагне вдосконалити протоколи тестування для вмісту швидкого реагування. Заплановані вдосконалення включають тестування локальних розробників, комплексне тестування оновлень і відкатів, стрес-тестування, фаззингу, тестування стабільності та тестування інтерфейсу. Валідатор вмісту проходитиме додаткові перевірки, а процеси обробки помилок будуть посилені. Крім того, буде реалізовано стратегію поетапного розгортання вмісту швидкого реагування, що забезпечить клієнтам більший контроль над цими оновленнями.

У понеділок CrowdStrike оголосила про прискорений план відновлення для систем, які постраждали від помилкового оновлення, із значним прогресом у відновленні постраждалих пристроїв. Інцидент, який вважається одним із найсерйозніших збоїв ІТ в історії, призвів до серйозних збоїв у різних секторах, включаючи авіацію, фінанси, охорону здоров’я та освіту.

Після цього лідери Палати представників США закликають генерального директора CrowdStrike Джорджа Курца дати свідчення перед Конгресом щодо причетності компанії до масштабного збою. Тим часом організації та користувачі отримали сповіщення про збільшення кількості спроб фішингу, шахрайства та зловмисного програмного забезпечення, які використовують цей інцидент.

Ця подія підкреслює критичну потребу в надійних процесах тестування та перевірки кібербезпеки, щоб запобігти таким масовим збоям у майбутньому.