Krytyczny błąd w aktualizacji
CrowdStrike ogłosił wyniki analizy przyczyn poważnej awarii systemów Windows na całym świecie. Problemem okazała się aktualizacja oprogramowania Falcon Sensor, znana jako „Channel File 291”.
Doprowadziła ona do paraliżu milionów urządzeń, korzystających z oprogramowania Windows. Błąd wynikł z niespójności w liczbie przekazywanych parametrów między modułami walidacyjnymi.
Incydent rozpoczął się od wprowadzenia nowego typu szablonu do wykrywania zaawansowanych technik cyberprzestępczych. Nowa wersja szablonu, wprowadzona 19 lipca 2024 r., zawierała 21 parametrów, podczas gdy poprzednie wersje obsługiwały tylko 20.
Błąd ten nie został wykryty podczas testów z powodu stosowania ogólnych kryteriów dopasowania. Kiedy systemy zaczęły korzystać z nowego szablonu, próba dostępu do 21. parametru spowodowała usterkę odczytu pamięci. I to właśnie doprowadziło do awarii systemów.
Współpraca z Microsoftem i przyszłe plany
CrowdStrike natychmiast podjął kroki w celu naprawy problemu. Dodano kontrole graniczne podczas kompilacji czujnika oraz runtime, aby zapobiec podobnym awariom w przyszłości.
Organizacja zobowiązała się również do zwiększenia zakresu testów – uwzględniając przypadki dla wszystkich pól szablonu – nie tylko tych z kryteriami ogólnymi.
CrowdStrike planuje także współpracować z Microsoftem nad nowymi metodami zabezpieczeń, które będą działać w przestrzeni użytkownika, a nie w jądrze systemu.
Co więcej – eksperci oczekują, że przyszłe aktualizacje czujników usuną luki. System konfiguracji treści zyska nowe procedury testowe i dodatkowe warstwy wdrażania, a platforma Falcon zapewni klientom większą kontrolę nad dostarczaniem treści Rapid Response.
CrowdStrike zaangażował także dwóch niezależnych dostawców oprogramowania do przeprowadzenia przeglądu kodu czujnika Falcon pod kątem bezpieczeństwa i jakości. Przeprowadzany jest także niezależny przegląd całego procesu jakości, od opracowania po wdrożenie.
Reakcja rynku na awarię CrowdStrike i dalsze kroki
Firma Delta Air Lines, jedna z dotkniętych awarią, ogłosiła plany dochodzenia odszkodowania od CrowdStrike i Microsoftu za straty szacowane na 500 mln dolarów.
Mimo że obie firmy zaprzeczają bezpośredniej winie – obiecują dalsze działania naprawcze i współpracę w celu zapobiegania podobnym incydentom w przyszłości.
Incydent z „Channel File 291” uczy nas ważnej lekcji, a mianowicie znaczenie dokładnych testów i wielowarstwowych zabezpieczeń w oprogramowaniu. Ta sytuacja stanowi przestrogę dla wszystkich firm, że nawet najmniejszy błąd może prowadzić do globalnych konsekwencji.
