CrowdStrike phá vỡ lý do tại sao bản cập nhật xấu cho Microsoft Windows ảnh hưởng đến hàng triệu người không được kiểm tra đúng cách

Vào thứ Tư, CrowdStrike đã tiết lộ những hiểu biết sâu sắc từ quá trình đánh giá sơ bộ sau sự cố của họ, làm sáng tỏ lý do tại sao bản cập nhật Microsoft Windows gần đây gây ra sự gián đoạn trên diện rộng lại không được phát hiện trong quá trình thử nghiệm nội bộ. Sự cố này, ảnh hưởng đến hàng triệu người trên toàn cầu, đã làm nổi bật những sai sót nghiêm trọng trong quá trình xác thực bản cập nhật.

CrowdStrike, một công ty an ninh mạng hàng đầu, cung cấp hai loại cập nhật cấu hình nội dung bảo mật riêng biệt cho đại lý Falcon của mình: nội dung cảm biến và nội dung phản hồi nhanh. Cập nhật nội dung cảm biến cung cấp khả năng toàn diện để ứng phó với kẻ thù và phát hiện mối đe dọa lâu dài. Các bản cập nhật này không được tìm nạp động từ đám mây và trải qua quá trình thử nghiệm rộng rãi, cho phép khách hàng kiểm soát việc triển khai trên toàn bộ nhóm của họ.

Ngược lại, nội dung phản hồi nhanh bao gồm các tệp nhị phân độc quyền chứa dữ liệu cấu hình để nâng cao khả năng hiển thị và phát hiện thiết bị mà không cần sửa đổi mã. Nội dung này được xác thực bởi một thành phần được thiết kế để đảm bảo tính toàn vẹn trước khi phân phối. Tuy nhiên, bản cập nhật được phát hành vào ngày 19 tháng 7 nhằm giải quyết các kỹ thuật tấn công mới khai thác các đường ống có tên, đã tiết lộ một lỗ hổng nghiêm trọng.

Trình xác thực, được tin cậy từ tháng 3, có một lỗi cho phép bản cập nhật bị lỗi vượt qua quá trình xác thực. Do không có thử nghiệm bổ sung nên bản cập nhật đã được triển khai, dẫn đến khoảng 8,5 triệu thiết bị Windows gặp phải vòng lặp Màn hình xanh chết chóc (BSOD) . Sự cố này xuất phát từ việc đọc bộ nhớ ngoài giới hạn gây ra ngoại lệ chưa được xử lý. Mặc dù thành phần trình thông dịch nội dung của CrowdStrike được thiết kế để quản lý các trường hợp ngoại lệ như vậy nhưng vấn đề cụ thể này vẫn chưa được giải quyết thỏa đáng.

Để ứng phó với sự cố này, CrowdStrike cam kết tăng cường các giao thức thử nghiệm cho nội dung phản hồi nhanh. Các cải tiến theo kế hoạch bao gồm thử nghiệm dành cho nhà phát triển cục bộ, thử nghiệm cập nhật và khôi phục toàn diện, thử nghiệm căng thẳng, làm mờ, thử nghiệm độ ổn định và thử nghiệm giao diện. Trình xác thực nội dung sẽ nhận được các bước kiểm tra bổ sung và quy trình xử lý lỗi sẽ được củng cố. Hơn nữa, chiến lược triển khai so le cho nội dung phản hồi nhanh sẽ được triển khai, cung cấp cho khách hàng quyền kiểm soát tốt hơn đối với các bản cập nhật này.

Vào thứ Hai, CrowdStrike đã công bố một kế hoạch khắc phục nhanh chóng cho các hệ thống bị ảnh hưởng bởi bản cập nhật bị lỗi, với tiến bộ đáng kể đã đạt được trong việc khôi phục các thiết bị bị ảnh hưởng. Sự cố này được coi là một trong những lỗi CNTT nghiêm trọng nhất trong lịch sử, dẫn đến sự gián đoạn lớn trên nhiều lĩnh vực khác nhau, bao gồm hàng không, tài chính, y tế và giáo dục.

Sau đó, các nhà lãnh đạo Hạ viện Hoa Kỳ đang kêu gọi Giám đốc điều hành CrowdStrike George Kurtz làm chứng trước Quốc hội về việc công ty có liên quan đến tình trạng ngừng hoạt động trên diện rộng. Trong khi đó, các tổ chức và người dùng đã được cảnh báo về sự gia tăng các nỗ lực lừa đảo, lừa đảo và phần mềm độc hại khai thác sự cố này.

Sự kiện này nhấn mạnh sự cần thiết phải có các quy trình thử nghiệm và xác nhận mạnh mẽ trong an ninh mạng để ngăn chặn sự gián đoạn trên diện rộng như vậy trong tương lai.