CrowdStrike fajëson softuerin e testimit për shkatërrimin e 8.5 milionë makinave Windows

foto

CrowdStrike ka publikuar një rishikim pas incidentit të përditësimit të gabimeve që publikoi që shkatërroi 8.5 milionë makina Windows javën e kaluar. Postimi i detajuar fajëson një gabim në softuerin e testimit për mos vërtetimin e duhur të përditësimit të përmbajtjes që u dërgua në miliona makina të premten. CrowdStrike premton të testojë më tërësisht përditësimet e përmbajtjes, të përmirësojë trajtimin e gabimeve dhe të zbatojë një vendosje të shkallëzuar për të shmangur përsëritjen e kësaj fatkeqësie.

foto

Softueri Falcon i CrowdStrike përdoret nga bizneset në mbarë botën për të ndihmuar në menaxhimin kundër malware dhe shkeljeve të sigurisë në miliona makina Windows. Të premten, CrowdStrike lëshoi ​​​​një përditësim të konfigurimit të përmbajtjes për softuerin e tij që supozohej të “mbledhte telemetrinë mbi teknikat e mundshme të kërcënimit të ri”. Këto përditësime shpërndahen rregullisht, por ky përditësim i veçantë i konfigurimit shkaktoi rrëzimin e Windows.

foto

CrowdStrike zakonisht lëshon përditësime të konfigurimit në dy mënyra të ndryshme. Ekziston ajo që quhet Përmbajtja e Sensorit që përditëson drejtpërdrejt sensorin Falcon të CrowdStrike që funksionon në nivelin e kernelit në Windows, dhe veçmas ekziston Përmbajtja e Reagimit të Shpejtë që përditëson se si ai sensor sillet për të zbuluar malware. Një skedar i vogël i përmbajtjes së reagimit të shpejtë 40 KB shkaktoi çështjen e së premtes.

Përditësimet në sensorin aktual nuk vijnë nga cloud, dhe zakonisht përfshijnë AI dhe modele të mësimit të makinerive që do të lejojnë CrowdStrike të përmirësojë aftësitë e tij të zbulimit për një afat të gjatë. Disa nga këto aftësi përfshijnë diçka të quajtur Llojet e shablloneve, që është kod që mundëson zbulimin e ri dhe konfigurohet sipas llojit të përmbajtjes së veçantë të reagimit të shpejtë që u dorëzua të premten.

Në anën e resë kompjuterike, CrowdStrike menaxhon sistemin e vet që kryen kontrolle të vërtetimit të përmbajtjes përpara se të publikohet për të parandaluar një incident si të premten të ndodhë. CrowdStrike lëshoi ​​dy përditësime të Përmbajtjes së Përgjigjes së Shpejtë javën e kaluar, ose ato që ai i quan gjithashtu Raste Modeli. “Për shkak të një gabimi në “Vlerësuesin e përmbajtjes”, një nga dy rastet e shabllonit kaloi vërtetimin pavarësisht se përmban të dhëna problematike të përmbajtjes,” thotë CrowdStrike.

Ndërsa CrowdStrike paraformon testimin e automatizuar dhe manual të përmbajtjes së sensorëve dhe llojeve të shablloneve, nuk duket se bën aq shumë testime të plota në përmbajtjen e reagimit të shpejtë që u dorëzua të premten. Një vendosje në mars të llojeve të reja të shablloneve siguroi “besim në kontrollet e kryera në “Vlerësuesin e përmbajtjes”, kështu që CrowdStrike duket se ka supozuar se prezantimi i përmbajtjes së reagimit të shpejtë nuk do të shkaktonte probleme.

Ky supozim bëri që sensori të ngarkonte përmbajtjen problematike të reagimit të shpejtë në interpretuesin e tij të përmbajtjes dhe të nxiste një përjashtim të memories jashtë kufijve. “Ky përjashtim i papritur nuk mund të trajtohej me hijeshi, duke rezultuar në një përplasje të sistemit operativ Windows (BSOD),” shpjegon CrowdStrike.

Për të parandaluar që kjo të ndodhë përsëri, CrowdStrike premton të përmirësojë testimin e përmbajtjes së reagimit të shpejtë duke përdorur testimin lokal të zhvilluesve, përditësimin e përmbajtjes dhe testimin e rikthimit, krahas testimit të stresit, fuzzimit dhe injektimit të gabimeve. CrowdStrike do të kryejë gjithashtu testimin e stabilitetit dhe testimin e ndërfaqes së përmbajtjes në përmbajtjen e reagimit të shpejtë.

CrowdStrike po përditëson gjithashtu Vlerësuesin e përmbajtjes të bazuar në renë kompjuterike për të kontrolluar më mirë publikimet e përmbajtjes së reagimit të shpejtë. “Një kontroll i ri është në proces për t’u mbrojtur kundër këtij lloji të përmbajtjes problematike që të mos vendoset në të ardhmen,” thotë CrowdStrike.

Në anën e shoferit, CrowdStrike do të “përmirësojë trajtimin ekzistues të gabimeve në Interpretuesin e Përmbajtjes”, i cili është pjesë e sensorit Falcon. CrowdStrike do të zbatojë gjithashtu një vendosje të shkallëzuar të Përmbajtjes së Reagimit të Shpejtë, duke siguruar që përditësimet të vendosen gradualisht në pjesë më të mëdha të bazës së tij të instalimit në vend të një shtytjeje të menjëhershme për të gjitha sistemet. Si përmirësimet e shoferit ashtu edhe vendosjet e shkallëzuara janë rekomanduar nga ekspertët e sigurisë ditët e fundit.