CrowdStrike опублікувала огляд після інциденту (post incident review, PIR) щодо несправного оновлення, яке вивело з ладу 8,5 млн комп’ютерів. У проблемі звинувачують програму для тестування.
Через помилку ПЗ не перевірило належним чином оновлення вмісту, яке було розповсюджено на мільйони машин у п’ятницю. CrowdStrike обіцяє ретельніше тестувати оновлення власних продуктів, покращити обробку помилок та запровадити поетапне розгортання, щоб уникнути повторення катастрофи.
Програмне забезпечення Falcon від CrowdStrike використовується компаніями в усьому світі для боротьби зі шкідливим ПЗ та порушеннями безпеки на мільйонах комп’ютерів Windows. У п’ятницю CrowdStrike випустила оновлення конфігурації для свого продукту, яке мало «збирати телеметрію щодо можливих нових методів загроз». Ці оновлення постачаються регулярно, але саме це конкретне спричинило збій Windows.
CrowdStrike зазвичай випускає оновлення конфігурації двома різними способами. Існує так званий вміст датчика (Sensor Content), який безпосередньо оновлює CrowdStrike Falcon, що працює на рівні ядра Windows. Ще є вміст швидкого реагування, який оновлює поведінку для виявлення зловмисного програмного забезпечення. Невеликий файл Rapid Response Content розміром 40 КБ спричинив п’ятничну проблему. Минулого тижня CrowdStrike випустила два оновлення швидкого реагування — те, що компанія називає екземплярами шаблонів.
«Через помилку в засобі перевірки вмісту один із двох екземплярів шаблону пройшов перевірку, попри те, що містив проблемні дані», — зазначає CrowdStrike.
Хоча CrowdStrike проводить як автоматичне, так і ручне тестування, але все ж воно виявилося недостатньо ретельним. Розгортання нових типів шаблонів у березні забезпечило «довіру до перевірок, які виконуються в Content Validator», тому CrowdStrike, схоже, припустила, що розгортання не викличе проблем.
«Цей несподіваний виняток не вдалося грамотно обробити, що призвело до збою операційної системи Windows (BSOD)», — пояснює CrowdStrike.
Щоб запобігти цьому знову, CrowdStrike обіцяє вдосконалити тестування вмісту швидкого реагування за допомогою тестування локальних розробників, оновлення вмісту та тестування відкату, а також стрес-тестування. CrowdStrike також проведе тестування стабільності та інтерфейсу вмісту Rapid Response Content і оновить свій хмарний інструмент перевірки.
Джерело: The Verge