CrowdStrike ha publicado una revisión posterior al incidente (PIR) en relación con una actualización defectuosa que desactivado 8,5 millones de ordenadores. El problema se achaca al software de pruebas.
Debido a un error, el software no pudo probar correctamente la actualización de contenidos que se distribuyó a millones de máquinas el viernes. CrowdStrike promete probar más a fondo las actualizaciones de sus productos, mejorar la gestión de errores e introducir un despliegue escalonado para evitar que se repita el desastre.
El software Falcon de CrowdStrike es utilizado por empresas de todo el mundo para luchar contra el malware y las brechas de seguridad en millones de ordenadores Windows. El viernes, CrowdStrike lanzó una actualización de configuración para su producto que supuestamente «recogía telemetría sobre posibles nuevas técnicas de amenazas». Estas actualizaciones se envían con regularidad, pero esta en concreto provocó el fallo de Windows.
CrowdStrike suele lanzar actualizaciones de configuración de dos formas diferentes. Está lo que se llama Sensor Content, que actualiza directamente el CrowdStrike Falcon que se ejecuta a nivel del kernel de Windows. Luego está el Contenido de Respuesta Rápida, que actualiza el comportamiento para detectar malware. Un pequeño archivo de 40 KB de Contenido de Respuesta Rápida causó el problema del viernes. La semana pasada, CrowdStrike lanzó dos Actualizaciones de Respuesta Rápida — lo que la compañía llama instancias de patrones.
«Debido a un error en la herramienta de validación de contenido, una de las dos instancias de la plantilla pasó la validación a pesar de contener datos problemáticos», — señala CrowdStrike.
Aunque CrowdStrike realiza pruebas automatizadas y manuales, todavía no eran lo suficientemente exhaustivas. El despliegue de los nuevos tipos de plantillas en marzo proporcionó «confianza en las comprobaciones realizadas en Content Validator», por lo que CrowdStrike pareció asumir que el despliegue no causaría problemas.
«Esta excepción inesperada no pudo ser manejada correctamente, dando lugar a una sobrecarga del sistema Windows (BSOD)», explica CrowdStrike.
Para evitar que esto vuelva a suceder, CrowdStrike promete mejorar las pruebas de Rapid Response Content a través de pruebas de desarrolladores locales, actualizaciones de contenido y pruebas de reversión, y pruebas de estrés. CrowdStrike también llevará a cabo pruebas de estabilidad e interfaz de usuario de Rapid Response Content y actualizará su herramienta de validación basada en la nube.
Fuente: The Verge