شرکت CrowdStrike گزارش «بررسی پس از حادثه» (PIR) خود از آپدیت معیوب چند روز پیش که 8.5 میلیون دستگاه ویندوز ی را از کار انداخته بود، منتشر کرد. این شرکت در این بررسی مفصل، یک باگ در مکانیسم نرمافزار کنترل کیفیت خود را مسئول این اختلال گسترده میداند. CrowdStrike وعده داده است بهروزرسانیهای آینده را دقیقتر تست کند و مدیریت خطا را بهبود ببخشد.
به گزارش سرویس اخبار امنیت سایت شات ایکس و به نقل از دیجیاتو CrowdStrike در PIR خود باگ آپدیت اخیر را بررسی کرده است. این شرکت میگوید بهروزرسانیهای مخصوص پیکربندی را به دو روش مختلف صادر میکند. اولی «محتوای سنسور» (Sensor Content) نام دارد که مستقیم سنسور نرمافزار فالکون این شرکت را که در ویندوز اجرا میشود، بهروزرسانی میکند؛ دومی نیز «محتوای واکنش سریع» (Rapid Response Content) است که نحوه عملکرد سنسور برای شناسایی بدافزارها را بهروزرسانی میکند. درنهایت جمعه یک فایل محتوای واکنش سریع 40 کیلوبایتی مشکل ایجاد کرد.
باگ آپدیت نادرست CrowdStrike
بهروزرسانی محتواهای سنسور فالکون معمولاً از طریق هوش مصنوعی و مدلهای یادگیری ماشینی بهبود مییابند و از سرورهای ابری شرکت، آپدیتی به آنها فرستاده نمیشود. بااینحال، CrowdStrike در سرورهای ابری خودش، قبل از انتشار، بررسیهای مربوط به اعتبارسنجی محتوا را انجام میدهد تا از حوادثی مانند جمعه جلوگیری کند.
CrowdStrike هفته گذشته دو بهروزرسانی محتوای واکنش سریع موسوم به «Template Instances» منتشر کرد. این شرکت میگوید:
«بهدلیل وجود باگ در سیستم اعتبارسنجی محتوا، یکی از دو Template Instances بهرغم اینکه حاوی دادههای محتوای مشکلساز بود، اعتبارسنجی را پشت سر گذاشت.»
CrowdStrike نگفته است آن دادههای محتوایی دقیقاً چه بودند همچنین دلیل مشکلساز بودن آن چیست. این شرکت اگرچه بهصورت خودکار و دستی محتوای سنسور را تست میکند، به نظر میرسد در محتوای واکنش سریع که در جمعه ارائه شد، تست کامل انجام نداده است.
برای جلوگیری از تکرار این اتفاق، CrowdStrike وعده داده است تست محتوای واکنش سریع خودش را بهبود ببخشد. همچنین این شرکت درحال بهروزرسانی سیستم اعتبارسنج Content Validator مبتنی بر فضای ابری خود برای بررسی بهتر آپدیتهای محتوای واکنش سریع است.