CrowdStrike 剖析了影響數百萬人的 Microsoft Windows 錯誤更新為何未經適當測試

週三，CrowdStrike 披露了其初步事件後審查的見解，揭示了為什麼在內部測試期間沒有檢測到最近造成大規模中斷的 Microsoft Windows 更新。這事件影響了全球數百萬人，凸顯了更新驗證過程中的嚴重缺陷。

CrowdStrike 是一家領先的網路安全公司，為其 Falcon 代理提供兩種不同類型的安全內容配置更新：感測器內容和快速回應內容。感測器內容更新為對手響應和長期威脅偵測提供全面的功能。這些更新不是從雲端動態獲取並經過廣泛的測試，使客戶能夠控制整個車隊的部署。

相較之下，快速回應內容由包含設定資料的專有二進位檔案組成，可增強裝置可見性和偵測，而無需修改程式碼。該內容由旨在確保分發前完整性的元件進行驗證。然而，7 月 19 日發布的旨在解決利用命名管道的新穎攻擊技術的更新揭示了一個嚴重缺陷。

自三月以來一直依賴的驗證器包含一個錯誤，該錯誤允許錯誤的更新通過驗證。由於缺乏額外的測試，該更新的部署導致約850 萬台 Windows 裝置出現藍色畫面死機 (BSOD) 循環。此崩潰源自於越界記憶體讀取導致未處理的異常。儘管 CrowdStrike 的內容解釋器元件旨在管理此類異常，但這一特定問題並未充分解決。

針對此事件，CrowdStrike 致力於增強快速回應內容的測試協議。計劃的改進包括本地開發人員測試、全面更新和回滾測試、壓力測試、模糊測試、穩定性測試和介面測試。內容驗證器將接受額外的檢查，並且錯誤處理流程將得到加強。此外，還將實施快速回應內容的交錯部署策略，使客戶能夠更好地控制這些更新。

週一，CrowdStrike 宣布了一項針對受缺陷更新影響的系統的加速修復計劃，在恢復受影響的設備方面已經取得了重大進展。該事件被認為是歷史上最嚴重的 IT 故障之一，為航空、金融、醫療保健和教育等多個行業帶來了重大破壞。

此後，美國眾議院領導人敦促 CrowdStrike 執行長 George Kurtz 就該公司參與大規模停電事件向國會作證。同時，組織和用戶已收到警告，利用此事件進行的網路釣魚、詐騙和惡意軟體嘗試增加。

這一事件強調了網路安全領域迫切需要強大的測試和驗證流程，以防止未來出現此類廣泛的破壞。