CrowdStrike bryter ner varför dålig uppdatering till Microsoft Windows som påverkar miljoner inte testades ordentligt

På onsdagen avslöjade CrowdStrike insikter från deras preliminära granskning efter incidenten, vilket belyser varför en nyligen uppdaterad Microsoft Windows-uppdatering som orsakade omfattande störningar inte upptäcktes under interna tester. Denna incident, som påverkar miljontals globala, har visat på kritiska brister i uppdateringsvalideringsprocessen.

CrowdStrike, ett ledande cybersäkerhetsföretag, tillhandahåller två distinkta typer av uppdateringar av säkerhetsinnehållskonfiguration till sin Falcon-agent: sensorinnehåll och snabbsvarsinnehåll. Uppdateringar av sensorinnehåll erbjuder omfattande möjligheter för motståndssvar och långsiktig hotupptäckt. Dessa uppdateringar hämtas inte dynamiskt från molnet och genomgår omfattande tester, vilket gör att kunderna kan kontrollera distributionen över sina flottor.

Däremot består snabbsvarsinnehåll av proprietära binära filer som innehåller konfigurationsdata för att förbättra enhetens synlighet och upptäckt utan att ändra koden. Detta innehåll valideras av en komponent som är utformad för att säkerställa integritet före distribution. Uppdateringen som släpptes den 19 juli, som syftar till att ta itu med nya attacktekniker som utnyttjar namngivna rör, avslöjade dock ett kritiskt fel.

Validatorn, som har förlitats på sedan mars, innehöll en bugg som gjorde att den felaktiga uppdateringen kunde godkännas. På grund av frånvaron av ytterligare tester, distribuerades uppdateringen, vilket resulterade i att cirka 8,5 miljoner Windows-enheter upplevde en Blue Screen of Death (BSOD) loop . Denna krasch härrörde från en minnesläsning utanför gränserna som orsakade ett ohanterat undantag. Även om CrowdStrikes innehållstolkkomponent är utformad för att hantera sådana undantag, åtgärdades inte detta specifika problem på ett adekvat sätt.

Som svar på denna incident har CrowdStrike förbundit sig att förbättra testprotokollen för innehåll med snabba svar. Planerade förbättringar inkluderar testning av lokala utvecklare, omfattande uppdaterings- och återställningstester, stresstester, fuzzing, stabilitetstestning och gränssnittstestning. Innehållsvalideraren kommer att få ytterligare kontroller och felhanteringsprocesser kommer att förstärkas. Dessutom kommer en stegrad implementeringsstrategi för innehåll med snabba svar att implementeras, vilket ger kunderna större kontroll över dessa uppdateringar.

På måndagen tillkännagav CrowdStrike en accelererad saneringsplan för system som påverkats av den felaktiga uppdateringen, med betydande framsteg som redan har gjorts med att återställa påverkade enheter. Incidenten, som anses vara ett av de allvarligaste IT-felen i historien, resulterade i stora störningar inom olika sektorer, inklusive flyg, finans, hälsovård och utbildning.

I efterdyningarna uppmanar amerikanska husledare CrowdStrikes vd George Kurtz att vittna inför kongressen angående företagets inblandning i det omfattande driftstoppet. Samtidigt har organisationer och användare uppmärksammats på en ökning av nätfiske, bedrägerier och försök med skadlig programvara som utnyttjar denna incident.

Denna händelse understryker det kritiska behovet av robusta test- och valideringsprocesser inom cybersäkerhet för att förhindra sådana omfattande störningar i framtiden.