Siber güvenlik firması CrowdStrike, 8,5 milyon Windows işletim sistemini çalıştıran bilgisayarı etkileyen büyük bir sistem çökmesinin nedenini test yazılımındaki bir hataya bağladı. Şirket olay sonrası yaptığı incelemede, sorunlu güncellemenin geçtiğimiz Cuma günü yayınlanmadan önce yeterince doğrulanmadığını kabul etti. Olası yeni tehdit teknikleri hakkında telemetri toplamayı amaçlayan güncelleme, CrowdStrike’ın kötü amaçlı yazılım ve güvenlik ihlali koruması için küresel olarak kullanılan Falcon yazılımına dağıtıldı ve yaygın sistem arızalarına yol açtı. Olaya yanıt olarak CrowdStrike, test prosedürlerini ve hata işlemeyi iyileştirme sözü verdi. Şirket ayrıca, benzer olaylara karşı önleyici bir tedbir olarak gelecekteki güncellemelerde kademeli dağıtım uygulamayı planlıyor. Sorunlu güncelleme, şirket tarafından yayınlanan iki tür güncellemeden biri olan 40KB Hızlı Yanıt İçeriği dosyasının bir parçasıydı. Bu güncellemeler Falcon sensörünün Windows sistemlerindeki kötü amaçlı yazılımları tespit ederken nasıl davrandığını değiştiriyor. Yayınlanmadan önce içeriği doğrulamak için bulut tabanlı bir sisteme sahip olmasına rağmen, CrowdStrike’ın sorunlu güncellemesi ‘İçerik Doğrulayıcı’daki bir hata nedeniyle onaylandı. Şirket genellikle ‘Sensör İçeriği’ ve ‘Şablon Türleri’ üzerinde hem otomatik hem de manuel testler gerçekleştirir. Ancak, çökmeye neden olan RRC üzerindeki testlerin daha az titizlikle yapıldığı anlaşılıyor.
Mart ayında sunulan bir önceki başarılı dağıtım, İçerik Doğrulayıcı’da gerçekleştirilen kontrollere güven aşılamış ve bu güncellemenin güvenliği konusunda varsayımlara yol açmıştı. Sorunlu RRC sensörün ‘İçerik Yorumlayıcısı’na yüklenerek sınır dışı bir bellek istisnasını tetikledi. CrowdStrike, “Bu beklenmedik istisna zarif bir şekilde ele alınamadı ve Windows işletim sisteminin çökmesine (BSOD) neden oldu” açıklamasını yaptı. Şirketin güncelleme dağıtımının güvenliği hakkındaki varsayımı, bu öngörülemeyen sistem arızasına yol açtı. Bu olay, algılanan güvenlik veya geçmiş başarı oranlarına bakılmaksızın tüm güncellemeler için titiz test ve doğrulama prosedürlerinin öneminin altını çizmektedir. CrowdStrike, benzer olayları önlemek için yerel geliştirici testi, içerik güncelleme ve geri alma testi, stres testi ve hata enjeksiyonu kullanarak RRC testini geliştirmeyi planlıyor. Şirket ayrıca RRC üzerinde kararlılık testi ve içerik arayüzü testi de gerçekleştirecek. Bu önlemlere ek olarak CrowdStrike, RRC sürümlerini daha iyi incelemek için bulut tabanlı İçerik Doğrulayıcısı’nı geliştiriyor. Şirket, “Bu tür sorunlu içeriklerin gelecekte dağıtılmasını önlemek için yeni bir kontrol süreci devam ediyor” dedi. CrowdStrike ayrıca İçerik Yorumlayıcısı’nda hata işlemeyi geliştirmeyi planlıyor. Şirket, Hızlı Yanıt İçeriği’nin kademeli olarak dağıtılmasını sağlayacak, böylece güncellemeler tüm sistemlere anında iletilmek yerine kurulum tabanının daha büyük bölümlerine kademeli olarak dağıtılacak. Yakın zamanda güvenlik uzmanları tarafından önerilen bu strateji, gelecekte sorunlu güncellemeler nedeniyle sistem genelinde yaşanabilecek olası çökmeleri en aza indirmeyi amaçlıyor.