CrowdStrike 周三分享了其事后初步审查的信息,解释了为什么造成全球混乱的更新没有被内部测试发现。
这家网络安全巨头向其 Falcon 代理(传感器)提供了两种类型的安全内容配置更新:传感器内容和快速响应内容。
就传感器内容更新而言,它们提供了广泛的功能来帮助客户应对对手,并包括长期可重复使用的威胁检测功能。这些代码更新不是从云端动态获取的,而是经过严格测试的,客户可以选择将更新发布到其设备群的哪些部分。
另一方面,快速响应内容不是代码更新,而是一个专有的二进制文件,其中包含配置数据,可在无需更改代码的情况下提高设备上的可见性和检测能力。验证器组件会在内容发送给客户之前对其进行检查。
7 月 19 日推出的问题更新是一个快速响应内容更新,针对滥用命名管道的新型攻击技术。
根据自 3 月份以来进行的测试和部署,该内容验证器被信任能够识别任何问题。但是,该验证器包含一个错误,导致错误的更新通过了验证。
由于没有进行额外的测试,有问题的更新被推入生产环境,导致大约 850 万台运行 Windows 操作系统的设备进入蓝屏死机 (BSOD) 循环。
Windows 崩溃是由越界内存读取引发异常引起的。CrowdStrike表示,其内容解释器组件旨在“妥善处理可能存在问题的内容引发的异常”,但这次异常并未得到妥善处理。
CrowdStrike 计划改进快速响应内容测试,包括通过本地开发人员测试、内容更新和回滚测试、压力测试、模糊测试、稳定性测试和内容接口测试。内容验证器将为快速响应内容添加额外的检查,并增强错误处理。
此外,该安全公司表示正在实施快速响应内容的交错部署策略,客户将对这些更新的部署有更大的控制权。
CrowdStrike 周一宣布已经找到了一种加速修复受错误更新影响的系统的方法,并声称大量设备已经得到恢复。
该事件被描述为历史上最严重的 IT 故障之一,导致全球航空、金融、医疗保健和教育等领域出现严重中断。
美国众议院领导人要求 CrowdStrike 首席执行官乔治·库尔茨向国会作证,说明该公司在引发大规模停电事件中所扮演的角色。
与此同时,组织和用户已被警告,威胁组织正在利用这一事件进行网络钓鱼、诈骗和恶意软件传播。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/HHd5ICaCpHP3jsqxulsWoQ
暂无评论内容