CrowdStrike explica por que a atualização não foi testada corretamente

25/07/2024 mindsecblog Notícias 1

CrowdStrike explica por que a atualização não foi testada corretamente.

A CrowdStrike compartilhou uma análise preliminar do incidente, explicando por que a atualização que causou o caos global não foi detectada pelos testes.

Na quarta-feira, 24 de julho, a CrowdStrike compartilhou informações de sua análise preliminar pós-incidente, explicando por que a atualização que causou o caos global não foi detectada pelos testes internos.

A gigante da segurança cibernética fornece dois tipos de atualizações de configuração de conteúdo de segurança para seu agente Falcon (sensor): conteúdo de sensor e conteúdo de resposta rápida.

No caso de atualizações de conteúdo de sensores, elas fornecem uma ampla gama de recursos para auxiliar os clientes na resposta ao adversário e incluem recursos reutilizáveis de longo prazo para detecção de ameaças. Essas atualizações de código não são buscadas dinamicamente da nuvem, elas passam por testes rigorosos e os clientes podem selecionar para quais partes de sua frota a atualização deve ser enviada.

O conteúdo de resposta rápida, por outro lado, não é uma atualização de código, mas um arquivo binário proprietário que contém dados de configuração para melhorar a visibilidade e as detecções em um dispositivo sem exigir alterações de código. Um componente validador realiza verificações neste conteúdo antes de ele ser enviado aos clientes.

A atualização problemática lançada em 19 de julho foi uma atualização de conteúdo de resposta rápida visando novas técnicas de ataque que abusam de pipes nomeados .

Este validador de conteúdo era confiável para identificar quaisquer problemas, com base em testes e implantações conduzidas desde março. No entanto, o validador continha um bug que fazia com que a atualização ruim passasse na validação.

Como nenhum teste adicional foi realizado, a atualização problemática foi colocada em produção, fazendo com que cerca de 8,5 milhões de dispositivos com o sistema operacional Windows entrassem em um ciclo de Tela Azul da Morte (BSOD).

A falha do Windows foi causada por uma leitura de memória fora dos limites que disparou uma exceção. A CrowdStrike disse que seu componente de intérprete de conteúdo foi projetado para “lidar graciosamente com exceções de conteúdo potencialmente problemático”, mas essa exceção não foi tratada graciosamente.

Seguindo em frente, a CrowdStrike planeja melhorar os testes de conteúdo de resposta rápida, incluindo por meio de testes de desenvolvedores locais, testes de atualização e reversão de conteúdo, testes de estresse, fuzzing, testes de estabilidade e testes de interface de conteúdo. Verificações adicionais serão adicionadas ao validador de conteúdo para conteúdo de resposta rápida, e o tratamento de erros será aprimorado.

Além disso, a empresa de segurança diz que está implementando uma estratégia de implantação escalonada para conteúdo de resposta rápida, e os clientes terão maior controle sobre a implantação dessas atualizações.

A CrowdStrike anunciou na segunda-feira que encontrou uma maneira de acelerar a correção de sistemas afetados pela atualização com bugs, alegando que um número significativo de dispositivos já foi restaurado.

Descrito como uma das piores falhas de TI da história, o incidente causou interrupções significativas em todo o mundo em setores como aviação, finanças, saúde e educação.

Os líderes da Câmara dos EUA querem que o CEO da CrowdStrike, George Kurtz, testemunhe ao Congresso sobre o papel da empresa em desencadear a paralisação generalizada.

Enquanto isso, organizações e usuários foram alertados de que agentes de ameaças estão aproveitando esse incidente para distribuir phishing, golpes e malware .