ABD merkezli siber güvenlik firması CrowdStrike, 19 Temmuz’da bir güncellemenin Windows dizüstü ve masaüstü bilgisayarların çökmesine ve önyükleme döngüsünde takılı kalmasına neden olmasının ardından küresel bir kesintiye neden oldu. Kesinti, havayolları, sağlık, BT ve daha fazlası dahil olmak üzere farklı sektörleri etkileyen birkaç saat sürdü. Sorunu düzelttikten sonra şirket, ‘Falcon sensörü’ olarak adlandırılan yapay zeka (AI) sisteminin bir hataya neden olduğunu vurgulayan bir olay sonrası raporu yayınladı. Şimdi şirket, tam olarak neyin yanlış gittiğini vurgulamak için harici bir inceleme yaptıktan sonra ayrıntılı bir rapor yayınladı.
CrowdStrike Harici İnceleme Raporu Yayımladı
İçinde rapor Siber güvenlik firması, ‘Dış Teknik Kök Neden Analizi – Kanal Dosyası 291’ başlıklı raporda, Falcon sensörünün Windows’un işlem içi iletişim (IPC) mekanizmalarını etkileyen hatalı bir şablon türü dizesi kullandığını tespit ettiğini bildirdi.
CrowdStrike’a göre Falcon, kötü aktörlerden gelen en son ve gelişmiş tehditleri otomatik olarak tespit eden ve düzelten makine öğrenimi modelleri çalıştırıyor. 19 Temmuz kesintisinden hemen önce, tespit işlevi 7.11 sürümünde milyonlarca müşterinin Falcon kurulum bilgisayarına yeni bir “şablon türü” yükledi.
Ancak, işler burada ters gitti. Raporda, IPC şablon türünün 21 giriş parametresi alanı tanımladığı ancak “Kanal Dosyası 291’in Şablon Örnekleriyle İçerik Yorumlayıcısını çağıran entegrasyon kodunun eşleşmek için yalnızca 20 giriş değeri sağladığı” vurgulandı. Bu uyumsuzluk genellikle bir sorun teşkil etmez çünkü AI sistemi şimdiye kadar verilen 20’nin dışında bir girdi seçmemiştir.
Ancak o gün, sensör şablon türü 21’i incelemek istedi. Bununla ilgili karşılık gelen bir entegrasyon kodu olmadığından, 21. giriş parametresine erişme girişimi sınır dışı bellek hatası oluşturdu ve sistem çökmesine neden oldu.
Azaltma adımlarını vurgulayan rapor, CrowdStrike’ın bir Şablon Türü tarafından sağlanan girdi sayısını doğrulayan Sensör İçerik Derleyicisi için bir yama geliştirdiğini iddia etti. Bu, 27 Temmuz’da üretime girdi. Şirket ayrıca bir güncelleme göndermeden önce artan test ve doğrulamaya odaklandığını söyledi. Ayrıca, olası herhangi bir hatayı en aza indirmek için tüm gelecekteki güncellemelerin aşamalı bir şekilde yayınlanacağını da belirtti.
İncelemeyi gerçekleştiren dış tedarikçilere ilişkin herhangi bir ayrıntı verilmemesi dikkat çekicidir.