CrowdStrike, geçen hafta 8,5 milyon Windows bilgisayarını çökerten hatalı güncellemenin olay sonrası incelemesini (PIR) yayınladı. Ayrıntılı gönderi bir hatayı suçluyor Cuma günü milyonlarca makineye gönderilen içerik güncellemesini düzgün bir şekilde doğrulamadığı için test yazılımında. CrowdStrike, içerik güncellemelerini daha kapsamlı bir şekilde test etme, hata işlemeyi iyileştirme ve bu felaketin tekrarlanmasını önlemek için kademeli bir dağıtım uygulama sözü veriyor.
CrowdStrike’ın Falcon yazılımı, dünyanın dört bir yanındaki işletmeler tarafından milyonlarca Windows makinesinde kötü amaçlı yazılımlara ve güvenlik ihlallerine karşı yönetime yardımcı olmak için kullanılıyor. Cuma günü CrowdStrike, “olası yeni tehdit tekniklerine ilişkin telemetri toplaması” beklenen yazılımı için bir içerik yapılandırma güncellemesi yayınladı. Bu güncellemeler düzenli olarak teslim ediliyor ancak bu belirli yapılandırma güncellemesi Windows’un çökmesine neden oldu.
CrowdStrike genellikle yapılandırma güncellemelerini iki farklı şekilde yayınlar. Windows’da çekirdek düzeyinde çalışan CrowdStrike’ın kendi Falcon sensörünü doğrudan güncelleyen Sensor Content adlı bir şey vardır ve ayrıca bu sensörün kötü amaçlı yazılımları algılamak için nasıl davrandığını güncelleyen Rapid Response Content vardır. Cuma günkü soruna 40KB’lık küçük bir Rapid Response Content dosyası neden oldu.
Gerçek sensöre yapılan güncellemeler buluttan gelmez ve genellikle CrowdStrike’ın uzun vadede algılama yeteneklerini geliştirmesine olanak verecek AI ve makine öğrenimi modelleri içerir. Bu yeteneklerden bazıları, yeni algılamayı etkinleştiren ve Cuma günü teslim edilen ayrı Hızlı Yanıt İçeriği türü tarafından yapılandırılan kod olan Şablon Türleri adı verilen bir şeyi içerir.
Bulut tarafında CrowdStrike, Cuma günü gibi bir olayın yaşanmasını önlemek için içerikler yayınlanmadan önce içerikler üzerinde doğrulama kontrolleri gerçekleştiren kendi sistemini yönetiyor. CrowdStrike geçen hafta iki Hızlı Yanıt İçeriği güncellemesi veya Şablon Örnekleri olarak da adlandırdığı şeyi yayınladı. CrowdStrike, “İçerik Doğrulayıcı’daki bir hata nedeniyle, iki Şablon Örneğinden biri sorunlu içerik verileri içermesine rağmen doğrulamayı geçti” diyor.
CrowdStrike, Sensör İçeriği ve Şablon Türleri üzerinde hem otomatik hem de manuel testler gerçekleştirirken, Cuma günü teslim edilen Hızlı Tepki İçeriği üzerinde o kadar kapsamlı test yapmıyor gibi görünüyor. Yeni Şablon Türlerinin Mart ayındaki dağıtımı “İçerik Doğrulayıcıda gerçekleştirilen kontrollere güven” sağladı, bu nedenle CrowdStrike, Hızlı Tepki İçeriği dağıtımının sorunlara yol açmayacağını varsaymış gibi görünüyor.
Bu varsayım, sensörün sorunlu Hızlı Yanıt İçeriğini İçerik Yorumlayıcısına yüklemesine ve sınır dışı bellek istisnasını tetiklemesine yol açtı. CrowdStrike, “Bu beklenmeyen istisna zarif bir şekilde işlenemedi ve Windows işletim sistemi çökmesine (BSOD) neden oldu” diye açıklıyor.
Bunun tekrar olmasını önlemek için CrowdStrike, yerel geliştirici testi, içerik güncelleme ve geri alma testi, stres testi, bulanıklaştırma ve hata enjeksiyonu kullanarak Hızlı Yanıt İçeriği testini iyileştirme sözü veriyor. CrowdStrike ayrıca Hızlı Yanıt İçeriği üzerinde kararlılık testi ve içerik arayüzü testi gerçekleştirecek.
CrowdStrike ayrıca Hızlı Yanıt İçeriği sürümlerini daha iyi kontrol etmek için bulut tabanlı İçerik Doğrulayıcısını da güncelliyor. CrowdStrike, “Bu tür sorunlu içeriklerin gelecekte dağıtılmasını önlemek için yeni bir kontrol yapılıyor” diyor.
Sürücü tarafında CrowdStrike, Falcon sensörünün bir parçası olan “İçerik Yorumlayıcısındaki mevcut hata işlemeyi geliştirecek”. CrowdStrike ayrıca Hızlı Yanıt İçeriğinin kademeli dağıtımını uygulayarak güncellemelerin tüm sistemlere anında gönderilmesi yerine kurulum tabanının daha büyük bölümlerine kademeli olarak dağıtılmasını sağlayacak. Hem sürücü iyileştirmeleri hem de kademeli dağıtımlar son günlerde güvenlik uzmanları tarafından önerildi.