CrowdStrike تلوم برنامج الاختبار على تعطيل 8.5 مليون جهاز كمبيوتر يعمل بنظام Windows
نشرت شركة CrowdStrike تقريرًا عن مراجعة ما بعد الحادث (PIR) للتحديث الخاطئ الذي نشرته والذي أدى إلى إيقاف 8.5 مليون جهاز كمبيوتر يعمل بنظام Windows في الأسبوع الماضي. المنشور التفصيلي يلقي باللوم على خطأ في برنامج الاختبار لعدم التحقق بشكل صحيح من تحديث المحتوى الذي تم دفعه إلى ملايين الأجهزة يوم الجمعة. ووعدت CrowdStrike باختبار تحديثات المحتوى الخاصة بها بشكل أكثر شمولاً، وتحسين معالجة الأخطاء، وتنفيذ نشر متدرج لتجنب تكرار هذه الكارثة. يستخدم برنامج Falcon من CrowdStrike من قبل الشركات في جميع أنحاء العالم للمساعدة في إدارة البرامج الضارة وانتهاكات الأمان على ملايين أجهزة الكمبيوتر التي تعمل بنظام Windows. في يوم الجمعة، أصدرت CrowdStrike تحديثًا لتكوين المحتوى لبرنامجها كان من المفترض أن “يجمع القياس عن بعد حول تقنيات التهديد الجديدة المحتملة”. يتم تسليم هذه التحديثات بانتظام، لكن تحديث التكوين هذا تسبب في تعطل Windows. تصدر CrowdStrike عادةً تحديثات التكوين بطريقتين مختلفتين. هناك ما يسمى محتوى الاستشعار الذي يقوم بتحديث مستشعر Falcon الخاص بـ CrowdStrike مباشرة والذي يعمل على مستوى النواة في Windows، وهناك بشكل منفصل محتوى الاستجابة السريعة الذي يقوم بتحديث كيفية تصرف هذا المستشعر للكشف عن البرامج الضارة. تسبب ملف صغير بحجم 40 كيلوبايت من Rapid Response Content في حدوث مشكلة يوم الجمعة. لا تأتي التحديثات للمستشعر الفعلي من السحابة، وعادةً ما تتضمن نماذج الذكاء الاصطناعي والتعلم الآلي التي ستسمح لـ CrowdStrike بتحسين قدراتها على الاكتشاف على المدى الطويل. تتضمن بعض هذه القدرات شيئًا يسمى أنواع القوالب، وهو رمز يتيح الاكتشاف الجديد ويتم تكوينه حسب نوع محتوى الاستجابة السريعة المنفصل الذي تم تسليمه يوم الجمعة. على جانب السحابة، تدير CrowdStrike نظامها الخاص الذي يقوم بإجراء عمليات التحقق من صحة المحتوى قبل إصداره لمنع وقوع حادث مثل يوم الجمعة. أصدرت CrowdStrike تحديثين لمحتوى الاستجابة السريعة الأسبوع الماضي، أو ما تسميه أيضًا مثيلات القالب. تقول CrowdStrike: “نظرًا لوجود خلل في Content Validator، اجتاز أحد مثيلي القالب التحقق على الرغم من احتوائه على بيانات محتوى بها مشكلات”. في حين تقوم CrowdStrike بإجراء اختبارات آلية ويدوية على محتوى المستشعر وأنواع القوالب، لا يبدو أنها تقوم بالكثير من الاختبارات الشاملة على محتوى الاستجابة السريعة الذي تم تسليمه يوم الجمعة. لقد أدى نشر أنواع القوالب الجديدة في مارس إلى “الثقة في الفحوصات التي يتم إجراؤها في Content Validator”، لذا يبدو أن CrowdStrike قد افترضت أن طرح Rapid Response Content لن يسبب مشكلات. أدى هذا الافتراض إلى تحميل المستشعر لمحتوى Rapid Response المثير للمشاكل في Content Interpreter الخاص به وإثارة استثناء ذاكرة خارج الحدود. يوضح CrowdStrike: “لم يتم التعامل مع هذا الاستثناء غير المتوقع بسلاسة، مما أدى إلى تعطل نظام التشغيل Windows (BSOD)”. لمنع حدوث ذلك مرة أخرى، تعد CrowdStrike بتحسين اختبار Rapid Response Content الخاص بها باستخدام اختبار المطور المحلي وتحديث المحتوى واختبار التراجع، إلى جانب اختبار الإجهاد والتشويش وحقن الأخطاء. ستقوم CrowdStrike أيضًا بإجراء اختبار الاستقرار واختبار واجهة المحتوى على Rapid Response Content. كما تقوم CrowdStrike بتحديث Content Validator المستند إلى السحابة للتحقق بشكل أفضل من إصدارات Rapid Response Content. “تقول شركة CrowdStrike: “”إن عملية فحص جديدة جارية للحماية من نشر هذا النوع من المحتوى الإشكالي في المستقبل””.” وعلى جانب برنامج التشغيل، ستعمل شركة CrowdStrike على “”تحسين معالجة الأخطاء الحالية في Content Interpreter””، وهو جزء من مستشعر Falcon. كما ستنفذ شركة CrowdStrike نشرًا متدرجًا لمحتوى الاستجابة السريعة، مما يضمن نشر التحديثات تدريجيًا على أجزاء أكبر من قاعدة التثبيت الخاصة بها بدلاً من الدفع الفوري لجميع الأنظمة. تم تحسين كل من برنامج التشغيل والنشر المتدرج موصى به من قبل خبراء الأمن في الايام الاخيرة.
المصدر
