CrowdStrike a publicat o revizuire post-incident (PIR) a actualizării defectuoase pe care a lansat-o, care a afectat 8,5 milioane de mașini Windows săptămâna trecută.
Raportul detaliat dă vina pe un bug din software-ul de testare pentru faptul că nu a validat corect actualizarea de conținut care a fost distribuită la milioane de mașini vineri. CrowdStrike promite să testeze mai temeinic actualizările de conținut, să îmbunătățească gestionarea erorilor și să implementeze o desfășurare etapizată pentru a evita repetarea acestui dezastru.
Software-ul Falcon de la CrowdStrike este utilizat de afaceri din întreaga lume pentru a ajuta la gestionarea amenințărilor malware și a breșelor de securitate pe milioane de mașini Windows. Vineri, CrowdStrike a emis o actualizare de configurare a conținutului pentru software-ul său, care avea rolul de a „colecta telemetrie despre posibile tehnici noi de amenințare.” Aceste actualizări sunt livrate regulat, dar această actualizare de configurare particulară a provocat prăbușirea Windows-ului.
CrowdStrike emite de obicei actualizări de configurare în două moduri diferite. Există așa-numitul Conținut Sensor care actualizează direct senzorul Falcon al CrowdStrike care rulează la nivel de kernel în Windows, și separat există Conținut Rapid Response care actualizează modul în care acel senzor detectează malware-ul. Un mic fișier de 40KB de Conținut Rapid Response a provocat problema de vineri.
Actualizările pentru senzorul propriu-zis nu provin din cloud și includ de obicei modele de AI și învățare automată care permit CrowdStrike să-și îmbunătățească capabilitățile de detecție pe termen lung. Unele dintre aceste capabilități includ așa-numitele Tipuri de Template, care sunt coduri ce permit o nouă detecție și sunt configurate de tipul de Conținut Rapid Response care a fost livrat vineri.
Pe partea de cloud, CrowdStrike gestionează propriul sistem care efectuează verificări de validare a conținutului înainte de a fi lansat pentru a preveni incidente precum cel de vineri. CrowdStrike a lansat două actualizări de Conținut Rapid Response săptămâna trecută, sau ceea ce numește și Instanțe de Template.
„Din cauza unui bug în Validatorul de Conținut, una dintre cele două Instanțe de Template a trecut de validare, în ciuda codului problematic conținut,” spune CrowdStrike.
În timp ce CrowdStrike efectuează atât teste automate, cât și manuale pe Conținutul Sensor și Tipurile de Template, nu pare să efectueze teste la fel de amănunțite pe Conținutul Rapid Response livrat vineri. O desfășurare din martie a noilor Tipuri de Template a oferit „încredere în verificările efectuate de Validătorul de Conținut”, astfel că CrowdStrike pare să fi presupus că desfășurarea Conținutului Rapid Response nu va cauza probleme.
Această presupunere a condus la încărcarea conținutului problematic Rapid Response în Interpreterul de Conținut al senzorului și la declanșarea unei excepții de memorie în afara limitelor.
„Această excepție neașteptată nu a putut fi gestionată în mod corespunzător, rezultând într-o prăbușire a sistemului de operare Windows (BSOD),” explică CrowdStrike.
Pentru a preveni repetarea acestei situații, CrowdStrike promite să îmbunătățească testarea Conținutului Rapid Response folosind teste locale ale dezvoltatorilor, teste de actualizare și revenire a conținutului, alături de teste de stres, fuzzing și injectare de defecte. CrowdStrike va efectua, de asemenea, teste de stabilitate și teste ale interfeței de conținut pe Conținutul Rapid Response.
CrowdStrike își actualizează, de asemenea, Validătorul de Conținut bazat pe cloud pentru a verifica mai bine lansările de Conținut Rapid Response. „Un nou control este în curs de implementare pentru a preveni desfășurarea acestui tip de conținut problematic în viitor,” spune CrowdStrike.
Pe partea de drivere, CrowdStrike va „îmbunătăți gestionarea erorilor existente în Interpreterul de Conținut,” care face parte din senzorul Falcon. CrowdStrike va implementa, de asemenea, o desfășurare etapizată a Conținutului Rapid Response, asigurându-se că actualizările sunt desfășurate treptat către porțiuni mai mari din baza sa de instalare, în loc de o lansare imediată către toate sistemele. Atât îmbunătățirile driverelor, cât și desfășurările etapizate au fost recomandate de experți în securitate în ultimele zile.
Sursa: theverge.com