В среду CrowdStrike опубликовала отчет, в котором изложены первоначальные результаты расследования инцидента, связанного с файлом, который помогает платформе безопасности CrowdStrike искать признаки вредоносного взлома на устройствах клиентов.
Что пошло не так
Компания регулярно тестирует свои обновления программного обеспечения перед их выпуском для клиентов, говорится в отчете CrowdStrike. Однако 19 июля ошибка в облачной системе тестирования CrowdStrike — конкретно в части, которая выполняет проверку новых обновлений перед их выпуском — привела к тому, что программное обеспечение было выпущено "несмотря на наличие проблемных данных контента".
Неправильный выпуск был опубликован сразу после полуночи по восточному времени 19 июля и откатился через полтора часа, в 1:27 утра по восточному времени, сообщила CrowdStrike. Но к тому времени миллионы компьютеров уже автоматически загрузили неисправное обновление. Проблема затронула только устройства Windows, а не Mac или Linux, и только те, которые были включены и могли получать обновления в эти ранние утренние часы.
Благодаря времени инцидента, организации в Европе и Азии "больше пострадали от сбоя в течение рабочего дня, в отличие от Америки", написал Fitch в своем блоге.
Когда устройства Windows с инструментами кибербезопасности CrowdStrike пытались получить доступ к поврежденному файлу, это вызывало "чтение памяти вне границ", которое "не могло быть корректно обработано, что приводило к сбою операционной системы Windows", сообщила CrowdStrike.
Это тот самый "синий экран смерти", о котором многие люди сообщали на своих машинах, и который можно было исправить только вручную удалив поврежденный файл — медленный и кропотливый процесс, учитывая, что до 8,5 миллионов отдельных устройств потребуется сбросить таким образом.
Эта цифра мала как процент от более широкой экосистемы Windows, сказал Microsoft — компания, которая не играла прямой роли в сбое. Тем не менее, Microsoft заявила в своем блоге, что это "демонстрирует взаимосвязанную природу нашей широкой экосистемы".
CrowdStrike заявила, что система тестирования и проверки, которая одобрила плохое обновление программного обеспечения, казалась нормально функционирующей для других выпусков, сделанных ранее в этом году. Но она пообещала в среду предотвратить повторение программных сбоев, подобных прошлой неделе, и публично выпустить более подробный анализ, когда он станет доступен.
Компания добавила, что разрабатывает новую проверку для своей системы проверки "чтобы предотвратить развертывание такого типа проблемного контента в будущем".
И CrowdStrike также планирует перейти к поэтапному подходу к выпуску обновлений контента, чтобы не все получали одно и то же обновление одновременно, а также предоставить клиентам более точный контроль над тем, когда устанавливаются обновления.