يلقي CrowdStrike باللوم على برامج الاختبار في تدمير 8.5 مليون جهاز يعمل بنظام Windows
/cdn.vox-cdn.com/uploads/chorus_asset/file/25537886/STK275_CROWDSTRIKE_CVIRGINIA_C.jpg?w=1200&resize=1200,628&ssl=1 "يلقي CrowdStrike باللوم على برامج الاختبار في تدمير 8.5 مليون جهاز يعمل بنظام Windows")
نشرت CrowdStrike مراجعة ما بعد الحادث (PIR) لتحديث عربات التي تجرها الدواب التي نشرتها والتي أدت إلى تعطل 8.5 مليون جهاز يعمل بنظام Windows الأسبوع الماضي. يلقي المنشور التفصيلي باللوم على خطأ في برنامج الاختبار لعدم التحقق بشكل صحيح من صحة تحديث المحتوى الذي تم دفعه إلى ملايين الأجهزة يوم الجمعة. تعد CrowdStrike بإجراء اختبار أكثر شمولاً لتحديثات محتواها، وتحسين معالجة الأخطاء، وتنفيذ نشر متدرج لتجنب تكرار هذه الكارثة.
يتم استخدام برنامج CrowdStrike’s Falcon من قبل الشركات في جميع أنحاء العالم للمساعدة في إدارة البرامج الضارة والانتهاكات الأمنية على الملايين من أجهزة Windows. أصدرت CrowdStrike يوم الجمعة تحديثًا لتكوين المحتوى لبرنامجها الذي كان من المفترض أن “يجمع معلومات عن تقنيات التهديد الجديدة المحتملة”. يتم تسليم هذه التحديثات بانتظام، ولكن تحديث التكوين المحدد هذا تسبب في تعطل Windows.
يُصدر CrowdStrike عادةً تحديثات التكوين بطريقتين مختلفتين. يوجد ما يسمى محتوى المستشعر الذي يقوم مباشرة بتحديث مستشعر Falcon الخاص بـ CrowdStrike والذي يعمل على مستوى kernel في Windows، ويوجد بشكل منفصل محتوى الاستجابة السريعة الذي يقوم بتحديث كيفية تصرف هذا المستشعر لاكتشاف البرامج الضارة. تسبب ملف محتوى الاستجابة السريعة الصغير بحجم 40 كيلو بايت في حدوث مشكلة يوم الجمعة.
لا تأتي تحديثات المستشعر الفعلي من السحابة، وعادةً ما تتضمن نماذج الذكاء الاصطناعي والتعلم الآلي التي ستسمح لـ CrowdStrike بتحسين قدرات الكشف الخاصة به على المدى الطويل. تتضمن بعض هذه الإمكانات شيئًا يسمى أنواع القوالب، وهو عبارة عن تعليمات برمجية تتيح اكتشافًا جديدًا ويتم تكوينه حسب نوع محتوى الاستجابة السريعة المنفصل الذي تم تسليمه يوم الجمعة.
على الجانب السحابي، تدير CrowdStrike نظامها الخاص الذي يقوم بإجراء فحوصات التحقق من صحة المحتوى قبل إصداره لمنع وقوع حادث مثل يوم الجمعة. أصدرت CrowdStrike تحديثين لمحتوى الاستجابة السريعة الأسبوع الماضي، أو ما يطلق عليه أيضًا مثيلات القالب. يقول CrowdStrike: “نظرًا لوجود خطأ في أداة التحقق من المحتوى، اجتازت إحدى مثيلات القالب التحقق من الصحة على الرغم من احتوائها على بيانات محتوى بها مشكلات”.
على الرغم من أن CrowdStrike يُجري اختبارًا آليًا ويدويًا على محتوى المستشعر وأنواع القوالب، إلا أنه لا يبدو أنه يقوم باختبارات شاملة على محتوى الاستجابة السريعة الذي تم تسليمه يوم الجمعة. لقد وفر نشر أنواع القوالب الجديدة في شهر مارس “الثقة في عمليات التحقق التي يتم إجراؤها في أداة التحقق من المحتوى”، لذلك يبدو أن CrowdStrike افترض أن طرح محتوى الاستجابة السريعة لن يسبب مشكلات.
أدى هذا الافتراض إلى قيام المستشعر بتحميل محتوى الاستجابة السريعة الذي به مشكلات في مترجم المحتوى الخاص به وإثارة استثناء ذاكرة خارج الحدود. يوضح CrowdStrike: “لا يمكن التعامل مع هذا الاستثناء غير المتوقع بأمان، مما يؤدي إلى تعطل نظام التشغيل Windows (BSOD).”
ولمنع حدوث ذلك مرة أخرى، تعد CrowdStrike بتحسين اختبار محتوى الاستجابة السريعة باستخدام اختبار المطورين المحليين وتحديث المحتوى واختبار التراجع، إلى جانب اختبار الضغط والتشويش وحقن الأخطاء. ستقوم CrowdStrike أيضًا بإجراء اختبار الاستقرار واختبار واجهة المحتوى على محتوى الاستجابة السريعة.
تقوم CrowdStrike أيضًا بتحديث أداة التحقق من المحتوى المستندة إلى السحابة للتحقق بشكل أفضل من إصدارات محتوى الاستجابة السريعة. يقول CrowdStrike: “تجري حاليًا عملية فحص جديدة للحماية من نشر هذا النوع من المحتوى الإشكالي في المستقبل”.
على جانب السائق، ستعمل CrowdStrike على “تحسين معالجة الأخطاء الموجودة في Content Interpreter”، وهو جزء من مستشعر Falcon. ستقوم CrowdStrike أيضًا بتنفيذ نشر متدرج لمحتوى الاستجابة السريعة، مما يضمن نشر التحديثات تدريجيًا على أجزاء أكبر من قاعدة التثبيت الخاصة بها بدلاً من الدفع الفوري لجميع الأنظمة. وقد أوصى خبراء الأمن في الأيام الأخيرة بتحسينات برنامج التشغيل وعمليات النشر المتدرجة.
إرسال التعليق