CrowdStrike, dünya çapında 8,5 milyondan fazla Windows sisteminin hatalı bir güncelleme nedeniyle çökmesine yol açan son olayın ardından, şirketin Falcon sensör uç nokta güvenlik teknolojisine yönelik içerik güncellemelerinin nasıl dağıtılacağı konusunda müşterilere daha fazla kontrol sağlayacak.

Olay nedeniyle halihazırda iki davanın hedefi olan sıkıntılı güvenlik sağlayıcısı, gelecekte ek işlevler planlayarak bu yeteneği desteklemek için platformuna yeni özellikler ekledi.

Çoklu Değişiklikler

Güncelleme, CrowdStrike’ın bir dizi değişikliğin tamamlanmasının ardından uyguladığı değişikliklerden biridir. sorun kaynağı çözümlemesi (RCA) 19 Temmuz olayıyla ilgili. 7 Ağustos güncellemesinde, CrowdStrike diğer değişiklikler duyuruldu gelecekte benzer bir şeyin olmamasını sağlamak için yapılmıştır. Değişiklikler arasında yeni içerik yapılandırma sistemi test prosedürleri, ek dağıtım katmanları ve içerik yapılandırma sistemi için kabul kontrolleri ve güncellemeleri için yeni doğrulama kontrolleri yer almaktadır.

CrowdStrike ayrıca iki bağımsız üçüncü taraf güvenlik tedarikçisinden Falcon sensör teknolojisinin kodunu ve şirketin ürün için kalite kontrol ve sürüm süreçlerini incelemesini istedi. CrowdStrike CEO’su George Kurtz, RCA’ya eşlik eden bir açıklamada “Bu olaydan öğrendiğimiz dersleri müşterilerimize daha iyi hizmet vermek için kullanıyoruz” dedi. “Bu amaçla, bu durumun tekrarlanmasını önlemek ve bizim ve sizin daha da dayanıklı hale gelmemizi sağlamak için kararlı adımlar attık.”

CrowdStrike’ın sorunları bir 19 Temmuz içerik güncellemesi Güvenlik satıcısının ilk olarak Şubat 2024’te kullanıma sunduğu yeni bir Falcon sensör yeteneği için. Otomatik olarak dağıtılan güncelleme, dünya çapındaki Windows sistemlerinin çökmesine neden oldu ve havayolları, finansal hizmetler, sağlık, üretim ve hükümet dahil olmak üzere birçok sektördeki kuruluşlar için muazzam kesintiler yarattı. Birçok durumda, sistem yöneticilerinin bilgisayarları manuel olarak yeniden başlatması gerekiyordu, bu da çok sayıda kuruluşun hizmetleri geri yükle tamamen.

CrowdStrike halihazırda en az iki toplu dava hedefi haline geldi olay üzerine — bire bir şirket hissedarları adına ve diğeri etkilenen işletmeler adına. Diğerleri de dahil olmak üzere birçok kişi Delta HavayollarıCrowdStrike’a dava açması bekleniyor ilgili kesinti maliyetleri Önümüzdeki günlerde ve aylarda.

Parametre Sayısı Uyuşmazlığı

Güvenlik satıcısı, Falcon sensör ürününün beklediği ile 19 Temmuz içerik yapılandırma güncellemesinin gerçekte içerdiği arasında bir parametre sayım uyuşmazlığı tespit etti ve sorunların temel nedeni olarak bunu belirledi. Güncelleme, CrowdStrike’ın Şubat ayında belirli Windows mekanizmalarını kullanan yeni saldırı tekniklerini tespit etmek ve bu teknikler hakkında içgörüler sağlamak için kullanıma sunduğu bir Falcon sensör özelliği içindi. Falcon sensörü, bu belirli yeteneği sunmak için önceden tanımlanmış 20 ayrı giriş alanı kümesine sahip belirli bir şablon kullanır.

CrowdStrike’ın 19 Temmuz’daki içerik yapılandırma güncellemesi, sensörün beklediği 20 alan yerine 21 giriş alanı sağladı. CrowdStrike, “Bu örnekte, uyumsuzluk, sınır dışı bir bellek okumasıyla sonuçlandı ve sistem çökmesine neden oldu,” dedi.

Güvenlik satıcısı, uyumsuz parametre sayısıyla şablonu Şubat ayında tanıtmış olsa da, analizi, şablonun yapı doğrulama ve testlerinin birden fazla katmanından sıyrıldığını gösterdi. Sensör yayın test süreci, şablonun stres testleri veya hatta ilk gerçek dünya dağıtımları sırasında kimse bu tutarsızlığı fark etmedi. Bunun bir nedeni, test süreçlerinin ve ilk dağıtımların, ekstra giriş alanının parametresi için herhangi bir değeri veya hiç değeri kabul etmedikleri anlamına gelen “joker karakter eşleştirme ölçütü” kullanmasıydı.

19 Temmuz güncellemesi, 21 Temmuz parametresi için joker olmayan bir eşleştirme ölçütü kullandı, bu da sensörün beklemediği bir alan için verilerle uğraşması gerektiği anlamına geliyordu. CrowdStrike, “İçerik Yorumlayıcısı yalnızca 20 değer bekliyordu,” dedi. “Bu nedenle, 21. değere erişme girişimi, giriş veri dizisinin sonunun ötesinde sınır dışı bir bellek okuması üretti ve bir sistem çökmesine neden oldu.”



siber-1