خرابی ۸٫۵ میلیون کامپیوتر ویندوزی بهدلیل وجود باگ کوچکی در ابزار تست CrowdStrike بوده است
به گزارش ویکی تک پلاس، شرکت CrowdStrike گزارش فنی مربوط به بهروزرسانی معیوبی را که هفتهی اخیر منجر به از کار افتادن ۸٫۵ میلیون دستگاه ویندوز شد منتشر کرد. این گزارش مفصل، وجود باگ در نرمافزار تست را عامل تأییدشدن صحت محتوای آپدیت میداند. CrowdStrike قول داد تا تستهای آپدیت محتوا را با دقت بیشتری انجام دهد، مدیریت خطا را بهبود بخشد و برای جلوگیری از تکرار چنین فاجعهای، استقرار بهروزرسانی را بهصورت مرحلهای اجرا کند.
کسبوکارهای سراسر جهان برای کمک به مقابله با بدافزارها و حملات امنیتی در میلیونها دستگاه ویندوزی از نرمافزار Falcon شرکت CrowdStrike استفاده میکنند. روز جمعه، CrowdStrike بهروزرسانی پیکربندی محتوا را برای نرمافزار خود منتشر کرد که قرار بود برای جمعآوری دادهها درمورد تکنیکهای تهدید احتمالی جدید عمل کند. این آپدیتها بهطور مرتب ارائه میشوند، اما بهروزرسانی روز جمعه باعث خرابی ویندوز شد.
CrowdStrike معمولاً بروزرسانیهای پیکربندی را به دو روش مختلف ارائه میدهد. نوعی از آن وجود دارد که بهعنوان Sensor Content شناخته میشود و مستقیماً Falcon Sensor اختصاصی CrowdStrike که در سطح هستهی ویندوز اجرا میشود را بهروز میکند. نوع دیگر آپدیت این شرکت Rapid Response Content نام دارد که نحوهی عملکرد Falcon Sensor را برای شناسایی بدافزار بهروز می کند. در این میان یک فایل کوچک ۴۰ کیلوبایتی از Rapid Response Content، باعث ایجاد مشکل روز جمعه شد.
بهروزرسانیهای واقعی Sensor از فضای ابری نمیآیند و معمولاً شامل مدلهای هوش مصنوعی و یادگیری ماشین هستند که به CrowdStrike اجازه میدهند قابلیتهای تشخیص بدافزار و تهدیدهای امنیتی خود را در بلندمدت بهبود بخشد. برخی از این قابلیتها شامل چیزی به نام Template Types است که کد آن، امکان تشخیصهای جدید را فراهم میکند و نوع جداگانهای از Rapid Response Content که روز جمعه ارائه شد، وظیفهی پیکربندی آن را برعهده دارد.
CrowdStrike سیستم ابری اختصاصی خود را مدیریت میکند که بررسیهای لازم را قبل از انتشار محتوا انجام میدهد تا از وقوع حادثهای مانند آپدیت اخیر جلوگیری کند و هفتهی گذشته دو بهروزرسانی Rapid Response Content نیز منتشر کرد. CrowdStrike میگوید: «بهدلیل وجود باگ در اعتبارسنج محتوا (Content Validator)، یکی از دو آپدیت Rapid Response Content که با نام Template Instances نیز شناخته میشوند، باوجود اینکه حاوی دادههای مشکلدار بود، تأییدیهی اعتبارسنج را دریافت کرد.»
اگرچه CrowdStrike تستهای خودکار و دستی را روی Sensor Content و Template Types انجام میدهد، بهنظر نمیرسد که تستهای دقیقی روی محتوای Template Instances روز جمعه انجام داده باشد. استقرار نمونههای الگوی جدید در ماه مارس (اسفند ۱۴۰۲ و فروردین ۱۴۰۳)، اعتماد به بررسیهای انجامشده در اعتبارسنج محتوا را بههمراه داشت، بنابراین CrowdStrike فرض کرده است که استقرار محتوای Template Types مشکلی ایجاد نخواهد کرد.
فرض اشتباه CrowdStrike منجر به بارگذاری محتوای حاوی باگ Template Types شد. CrowdStrike توضیح میدهد: «این استثنای غیرمنتظره بهدرستی مدیریت نشد و در نتیجه خرابی سیستمعامل ویندوز و مشکل صفحه آبی مرگ را بهدنبال داشت.»
CrowdStrike برای جلوگیری از تکرار اتفاق مشابه در انتشار آپدیتهایش، وعده داد تست Rapid Response Content خود را با استفاده از تست توسعهدهندگان محلی، تست بهروزرسانی، تست بازگشت محتوا و تست استرس و تزریق خطا بهبود بخشد. این شرکت همچنین تست پایداری و تست رابط محتوا را روی Rapid Response Content انجام خواهد داد.
CrowdStrike درحال بهروزرسانی اعتبارسنج محتوای مبتنیبر ابر خود است تا بررسی بهتری روی Rapid Response Content انجام دهد. CrowdStrike می گوید: «بررسی جدیدی درحال انجام است تا از استقرار این نوع محتوای مشکلدار در آینده جلوگیری کند.»
CrowdStrike در بخش درایور، مدیریت خطای موجود در Content Interpreter را که بخشی از Falcon Sensor محسوب میشود بهبود خواهد داد. این شرکت همچنین استقرار متناوب Rapid Response Content را اجرا و تضمین میکند.
لینک کوتاه: