SG.hu

A CrowdStrike a tesztelési szoftvert hibáztatja a 8,5 millió Windows gép leállításáért

A CrowdStrike közzétette az incidens utáni felülvizsgálatot (PIR) az általa közzétett hibás frissítésről, amely a múlt héten 8,5 millió Windows-gépet tett tönkre. A részletes bejegyzés a tesztelési szoftver hibáját okolja azért, hogy nem megfelelően validálta a pénteken több millió gépre kiszállított tartalmi frissítést. A CrowdStrike azt ígéri, hogy a jövőben alaposabban teszteli a frissítéseket, javítja a hibakezelést, és lépcsőzetes telepítést hajt végre, hogy elkerülje a katasztrófa megismétlődését.

A CrowdStrike Falcon szoftvert világszerte vállalatok használják a rosszindulatú szoftverek és biztonsági rések elleni védelemre Windows-gépek millióin. Pénteken a CrowdStrike kiadott egy tartalmi konfigurációs frissítést a szoftveréhez, amelynek célja „telemetria gyűjtése volt a lehetséges újszerű fenyegetési technikákról”. Ilyen patch-eket rendszeresen kiadnak, de ez a bizonyos konfigurációs frissítés a Windows összeomlását okozta.

A CrowdStrike jellemzően kétféle módon ad ki konfigurációs frissítéseket. Van az úgynevezett Sensor Content, amely közvetlenül frissíti a CrowdStrike saját Falcon szoftverét, amely a Windows kernel szintjén fut, és külön van a Rapid Response Content, amely azt frissíti, hogyan viselkedik ez a kód a rosszindulatú programok észlelése érdekében. Egy apró, 40 KB méretű Rapid Response Content fájl okozta a pénteki problémát. A szoftver tényleges frissítései nem a felhőből érkeznek, és jellemzően MI és gépi tanulási modelleket tartalmaznak, amelyek lehetővé teszik a CrowdStrike számára, hogy hosszú távon javítsa észlelési képességeit. Néhány ilyen képesség közé tartozik a Template Types nevű kód, amely új észlelést tesz lehetővé, és amelyet a pénteken szállított különálló Rapid Response Content típusa alapján konfigurálnak.

A felhőoldalon a CrowdStrike egy saját rendszert kezel, amely a tartalom érvényességi ellenőrzését végzi el a tartalom kiadása előtt, hogy megakadályozza a péntekihez hasonló incidensek bekövetkezését. A CrowdStrike a múlt héten két Rapid Response Content frissítést adott ki. "A Content Validator hibája miatt a két Template Instances közül az egyik átment az érvényesítésen annak ellenére, hogy problémás adatokat tartalmazott” - írja a CrowdStrike. Míg a CrowdStrike automatizált és manuális tesztelést is végez, a pénteken szállított Rapid tartalmak esetében úgy tűnik, nem végez olyan alapos tesztelést. Az új Sablon típusok márciusi telepítése „bizalmat keltett a Content Validatorban elvégzett ellenőrzéseknek tekintetében”, így a CrowdStrike azt feltételezte, hogy a Rapid Response Content bevezetése nem fog problémákat okozni.

Ez a feltételezés ahhoz vezetett, hogy a szoftver betölti a problémás Rapid tartalmat az értelmezőjébe, ami egy out-of-bounds memory exception hibát vált ki. "Ezt a váratlan memóriáhibát nem lehetett kezelni, ami a Windows operációs rendszer összeomlásához (BSOD) vezetett” - magyarázza a CrowdStrike. Annak érdekében, hogy ez ne fordulhasson elő még egyszer, a CrowdStrike azt ígéri, hogy javítja a Rapid Response Content tesztelését a helyi fejlesztők, a tartalomfrissítés és a rollback tesztelése, valamint a stressztesztelés, a fuzzing és hibainjektálás segítségével. A CrowdStrike a Rapid Response Content stabilitási tesztelését és tartalmi interfész tesztelését is el fogja végezni.

A CrowdStrike frissíti felhőalapú Content Validatorját is, hogy jobban ellenőrizhesse a Rapid Response Content kiadásait. "Folyamatban van egy új ellenőrzés, amely megakadályozza, hogy a jövőben ilyen típusú problémás tartalmakat telepítsenek” - közölte a CrowdStrike. Másrészről "javítjuk a meglévő hibakezelést a Content Interpreterben”, amely a Falcon szoftver része. A CrowdStrike emellett a Rapid Response Content szakaszos telepítését is bevezeti, biztosítva, hogy a frissítések fokozatosan kerüljenek telepítésre a telepített bázis nagyobb részein, ahelyett, hogy azonnal felkerülnének az összes rendszerre. Mind az illesztőprogram-fejlesztéseket, mind a lépcsőzetes telepítést biztonsági szakértők javasolták az elmúlt napokban.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • lammaer #11
    Mindig a tesztelésen megy a spórolás, aztán van nagy csodálkozás....
  • uwu2020 #10
    CrowdStrike talpra állhat még? Mennyire vannak ráutalva a felhasználók?
    Érdemes lehet részvényt venni, ha már kitombolta magát lefelé, vagy ez már bukó?
    Utoljára szerkesztette: uwu2020, 2024.07.26. 14:57:22
  • NEXUS6 #9
    A kérdés nem az, hogy lesz-e hibás szoftverfrissítés. Biztos hogy lesz ilyen, a Win-hez képest még sokkal magasabb biztonsági képességű architekturákon is.
    Sőt az a nézőpont is igaz, hogy ha több architektura is megtalálható egy adott szegmensben, akkor a hibás frissítések valószínűsége összeadódik. Ez kb tény.
    Viszont ebben az esetben egyetlen hibás frissítés nem lesz képes olyan katasztrófális és általános kiesést okozni, mint amit most látunk.
  • NEXUS6 #8
    Így van, a monokulturás szoftver ökoszsztéma mellett egy majdnem monokulturás hardver ökoszisztémát is látunk. Ha a probléma hardver szinten jelentkezne, az ugyan ilyen módon végzetes lehet.
    Ott azért kicsit jobb a helyzet, az AMD/Intel megosztottság miatt.
  • csulok0000 #7
    Többen is írják a "több lábon állást", de sajnos ez nem ilyen egyszerű. Egyrészt logikus következtetés lenne, hogy úgy stabilabb a rendszer, de sajnos nem feltétlen. minél több rendszert használnak annál nagyobb a valószínűsége a lehetséges hibáknak. Ráadásul a két eltérő rendszer közös üzemeltetése új fajta hibákat és problémákat is eredményezhet. Tehát a tervezésnél figyelembe kell venni, hogy a ritka, de nagyobb problémák, vagy a gyakoribb, de kisebb hatású hibákra építsenek.
  • Supra-III #6
    Ez az egész eset egy végtelenül nagy szegénységi és amatőrségi bizonyítvány az iparágról - félreértés ne essék, a crowdstrike-tól a microsofton keresztül a végfelhasználó informatikusokig.
    Sajnos rettentően felhigult a szakma, ez szinte borítékolható volt - kérdés, ki mennyit tanul belőle... (jah, és hiszek még a télapóban is...:-) )
  • Supra-III #5
    ilyen alapon azt is mondhatnád, hogy az volt a baj, hogy mindenki PC-t használ...
    De az tény, hogy ekkora szervezetnek már illene több lábon állni, és legalább a kritikus rendszerek egy részén blokkolni a frissítést.
  • Kotomicuki #4
    Ezt az önkényes kémszoftvert, ami mára már csak nyomokban tartalmaz operációs rendszerre emlékeztető elemeket, inkább (be)tiltanám a cégemnél, mintsem engedjem szabadon garázdálkodni.
    Már az alapok sem stabilak, ha meg még az uilyen felfogásban készített tartalmakat is ráeresztik...
  • Sequoyah #3
    Ez egy eredendoen konfliktusos helyzet. Nyilvan tudjak sokat tesztelni, es normal esetben meg is teszik ezt, azert nem tortenik ilyen napi szinten.
    De egy biztonsagi frissitesnek gyornsak is kell lennie. Ha egy uj virus, vagy mas tamadasi mondszer jelenik meg, akkor mindenki lehetoleg meg aznap vedelmet szeretne ellene. Nincs meg a luxus hogy napoat, vagy heteket teszteljek.
  • NEXUS6 #2
    A probléma nem önmagában a hibás frissítésből fakad, hiszen ilyen jelenséggel szinte minden platformon előbb utóbb összefutunk.

    A probléma az, hogy adott szegmensben szinte mindenki ugyan azt a platformot, a Windows-t használja, így egy ilyen monokultúrás ökoszisztéma sérülékenysége, és az ebből jelentkező veszteség,a krízis nagysága maximális.
    Diverzifikálni kell a számítógépes infrastruktúrát! Az sem szünteti meg az esetleges hibás frissítésekből fakadó problémákat, csak azt, hogy azok összeadódva ilyen katasztrófális méreteket öltsenek.