„CrowdStrike“ atskleidžia klaidingo naujinimo, dėl kurio „Windows“ strigčių, priežastį

„CrowdStrike Holdings Inc.“ pasidalijo nauja informacija apie sugedusį naujinimą, kurį praėjusią savaitę pristatė kibernetinio saugumo platformai „Falcon“.

Šiandien paskelbtoje preliminarioje incidento ataskaitoje bendrovė atskleidė, kad atnaujinimas sukėlė klaidą, vadinamą neribotu atminties skaitymu. Dėl šios klaidos sudužo „Windows“ įrenginiai, kuriuose buvo diegti paveikti „Falcon“ įrenginiai. „CrowdStrike“ planuoja išleisti visą incidento ataskaitą kartu su sistemų, naudojamų naujinimams įdiegti, patikimumo patobulinimais.

Praėjusią savaitę sugedęs atnaujinimas sukėlė vieną didžiausių informacinių technologijų gedimų knygose. Milijonai „Windows“ įrenginių, kuriuose veikia „Falcon“, patyrė avarijas, sutrikdė ligoninių, vyriausybinių agentūrų, oro linijų ir daugelio kitų organizacijų veiklą visame pasaulyje. Kai kurios įmonės vis dar nėra visiškai atkūrusios savo sistemų.

Draudimo bendrovė Parametrix Insurance Inc. sąmatos kad šis incidentas vien Fortune 500 nariams kainuos 5,4 mlrd. Į šią sumą neįtrauktos galimos Microsoft Corp. išlaidos. Labiausiai nukentės finansinių paslaugų, sveikatos priežiūros ir kelionių oro transportu sektorių įmonės.

Į „Nasdaq“ sąrašą įtraukta „CrowdStrike“ yra viena didžiausių pasaulyje kibernetinio saugumo tiekėjų, turinti daugiau nei 29 000 klientų visame pasaulyje. Jos „Falcon“ platforma naudojama darbuotojų įrenginiams ir kitoms sistemoms apsaugoti nuo įsilaužėlių. Platforma apsisaugo nuo kenkėjiškų programų, įdiegdama jutiklį arba lengvą stebėjimo programą savo apsaugotuose kompiuteriuose ir naudodama ją kenkėjiškos veiklos nuskaitymui.

„CrowdStrike“ reguliariai tobulina „Falcon“ jutiklį vadinamaisiais „Rapid Response Content“ atnaujinimais, kuriuose yra duomenų apie naujai nustatytas įsilaužimo taktikas. „Falcon“ jutiklis naudoja šiuos duomenis, kad nuskaitytų įrenginį, kuriame jis įdiegtas, ar nėra pažeidimų indikatorių. Šiandien paskelbtoje preliminarioje incidentų ataskaitoje „CrowdStrike“ detalizavo, kad vienas iš naujausių greitojo reagavimo turinio atnaujinimų sukėlė praėjusios savaitės „Windows“ gedimus.

Atnaujinimas buvo vienas iš dviejų, kuriuos bendrovė pristatė penktadienio rytą. Anot „CrowdStrike“, abu jie perėjo per vidinę sistemą, vadinamą „Content Validator“, kuri skirta automatiškai nuskaityti naują greitojo reagavimo turinį, ar nėra klaidų. Sistemai nepavyko aptikti sugedusio naujinimo ir todėl neužblokavo jo išleidimo.

Falcon jutikliai, gavę naujinimą, bandė jį paleisti naudodami vidinį komponentą, žinomą kaip turinio vertėjas. Tai sukėlė neribotą atminties skaitymą – klaidos tipą, atsirandantį, kai programa bando pasiekti pagrindinio kompiuterio RAM dalį, kurios naudoti ji neturi leidimo. Dėl viršijančios atminties nuskaitymo paveiktos „Windows“ mašinos strigdavo.

„Apimtos sistemos apima „Windows“ pagrindinius kompiuterius, kuriuose veikia 7.11 ir naujesnės versijos jutiklis, kurie buvo prisijungę nuo penktadienio, 2024 m. liepos 19 d., 04:09 UTC iki penktadienio, 2024 m. liepos 19 d. . „Turinio atnaujinimo defektas buvo panaikintas 2024 m. liepos 19 d., penktadienį, 05:27 UTC. Sistemoms, kurios prisijungia po šio laiko arba kurios neprisijungė per langą, įtakos neturėjo.

Siekdama, kad panašūs incidentai nepasikartotų ateityje, „CrowdStrike“ pradės nuodugniau nuskaityti greitojo reagavimo turinio naujinimus, ar nėra klaidų. Bendrovė detalizavo, kad jos kūrėjai tuo tikslu naudos daugiau nei pusšimtį skirtingų programinės įrangos testavimo metodų. Vienas iš būdų, kurį įmonė taikys, yra gedimų įvedimas, kuris apima sąmoningą klaidų įvedimą į programą, siekiant patikrinti, ar ji gali patikimai atkurti.

Bendrovė taip pat atnaujins sistemas, kurias naudoja naujinimams platinti. „Content Validator“, pagrindinė platforma, kurią ji naudoja greitojo reagavimo turinio naujinimų patikimumui patikrinti prieš išleidžiant, gaus papildomas „patvirtinimo“ funkcijas, skirtas klaidoms aptikti. Viena iš funkcijų yra specialiai sukurta aptikti gedimus, kurie sukėlė praėjusios savaitės „Windows“ gedimus.

„CrowdStrike“ taip pat pagerins kitas naujinimų valdymo infrastruktūros dalis. Ateityje bendrovė planuoja greitojo reagavimo turinį diegti palaipsniui, o ne visą įdiegtą bazę iš karto. Išleidę pradinės „kanarėlės“ įrenginių kolekcijos naujinimą, „CrowdStrike“ kūrėjai patikrins, ar nėra klaidų, prieš išleisdami patobulinimą plačiau.

„Falcon“ jutiklis, lengva programa, kurią platforma įdiegia klientų kompiuteriuose, taip pat bus atnaujinta kaip iniciatyvos dalis. „CrowdStrike“ planuoja aprūpinti jutiklį naujomis funkcijomis, padedančiomis atsigauti po sugedusių atnaujinimų. Be to, „Falcon“ klientai gaus galimybę tinkinti, kaip ir kada jie nori atsisiųsti naujinimus.

Nuotrauka: CrowdStrike