نشرت شركة CrowdStrike المتخصصة في الأمن السيبراني والتي تتعرض لانتقادات شديدة مراجعة أولية لما بعد الحادث تحديد المزيد من المعلومات حول التحديث الخاطئ الذي أدى إلى تعطل ملايين أجهزة مايكروسوفت في 19 يوليومما تسبب في حالة من الفوضى العالمية.
في تحديث تم نشره في وقت سابق في 24 يوليو، قالت الشركة إنها حاولت إصدار تحديث تكوين المحتوى لمستشعر Falcon الخاص بها على أجهزة الكمبيوتر المضيفة التي تعمل بنظام Windows في وقت مبكر من صباح يوم الجمعة.
يشكل تحديث “الاستجابة السريعة” هذا جزءًا من آليات الحماية الديناميكية العادية التي تستخدمها منصة Falcon لإجراء أنشطة الكشف عن التهديدات السيبرانية ومعالجتها. وبشكل أساسي، تستخدم CrowdStrike التحديثات لتحديد مؤشرات جديدة لسلوك الجهات الفاعلة المهددة، وتحسين قدراتها على الكشف والوقاية.
عادةً ما تمر مثل هذه التحديثات التي يتم تسليمها عبر السحابة دون لفت الانتباه إليها. ومع ذلك، تسبب هذا التحديث في تعطل أجهزة استضافة Windows التي تعمل بنظام Falcon sensor 7.11 وما فوق والتي كانت متصلة بالإنترنت في ذلك الوقت.
في الواقع، تعود المشكلة المطروحة إلى فبراير 2024، عندما تم إسقاط إصدار مستشعر Falcon 7.11 الذي يحتوي على قوالب للكشف عن أسلوب هجوم جديد يستغل أنابيب مسماة – قناة اتصال بين العميل والخادم. تم اختبار هذه القوالب لاحقًا والتحقق من صلاحيتها للاستخدام قبل إصدارها للإنتاج. تم نشر ثلاث نسخ أخرى من القوالب على مدار الأسابيع التالية، مرة أخرى دون وقوع حوادث.
لننتقل الآن إلى التاسع عشر من يوليو/تموز، عندما تم إعداد نموذجين إضافيين لنفس أسلوب الهجوم ليتم نشرهما. ومع ذلك، في هذه المناسبة، قالت شركة CrowdStrike إن خللًا في أداة التحقق من المحتوى الآلية المستخدمة للتحقق من التحديثات مكّن أحد النموذجين من اجتياز اختبارات التحقق “على الرغم من احتوائه على بيانات محتوى إشكالية”.
تم نشره بناءً على الاختبار الذي تم إجراؤه في شهر مارس، ولكن عند استلامه وتحميله، أدى هذا المحتوى الإشكالي في ملف القناة 291 إلى حالة ذاكرة خارج النطاق، مما تسبب في حدوث استثناء أغرق أنظمة تشغيل Windows.
كان التحديث المعطل متاحًا لمدة تزيد قليلاً عن ساعة وربع قبل أن يعيده CrowdStrike، من الساعة 04:09 UTC إلى 05:27 UTC (5:09 BST إلى 06:27 BST) يوم الجمعة، ولكن كان هذا وقتًا كافيًا للتسبب في أكثر من ثمانية ملايين جهاز حول العالم لتحطم وعرض شاشة الموت الزرقاء سيئة السمعة، والتي انتشرت صورها في جميع أنحاء العالم.
اعتذر الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز، مرة أخرى للعملاء وغيرهم من المتضررين – بما في ذلك الآلاف من الأشخاص الذين واجهوا تأخيرًا وإلغاءً للرحلات الجوية.
“يدرك جميع العاملين في CrowdStrike خطورة الموقف وتأثيره. لقد حددنا المشكلة بسرعة ونشرنا حلاً لها، مما سمح لنا بالتركيز بجدية على استعادة أنظمة العملاء باعتبارها أولويتنا القصوى”، قال كورتز.
وأكد كورتز أيضًا أنه لا هو ولا مايكروسوفت وقعوا ضحية لأي نوع من الهجمات الإلكترونية، وأكد مجددًا أن أجهزة استضافة لينكس وماك لم تتأثر.
وأضاف أن “نظام CrowdStrike يعمل بشكل طبيعي، ولا تؤثر هذه المشكلة على أنظمة منصة Falcon الخاصة بنا. ولا يوجد أي تأثير على أي حماية إذا تم تثبيت مستشعر Falcon. كما لم يتم تعطيل خدمات Falcon Complete وFalcon OverWatch”.
“لقد قمنا بتعبئة كل موظفي CrowdStrike لمساعدتك أنت وفريقك. إذا كانت لديك أسئلة أو كنت بحاجة إلى دعم إضافي، فيرجى التواصل مع ممثل CrowdStrike أو الدعم الفني.
“نحن نعلم أن الخصوم والجهات السيئة ستحاول استغلال أحداث مثل هذه. أشجع الجميع على البقاء يقظين والتأكد من التواصل مع ممثلي CrowdStrike الرسميين. ستظل مدونتنا والدعم الفني بمثابة القنوات الرسمية للحصول على آخر التحديثات.
وأضاف كورتز: “لا يوجد شيء أكثر أهمية بالنسبة لي من الثقة التي وضعها عملاؤنا وشركاؤنا في CrowdStrike. وبينما نعمل على حل هذه الحادثة، فإنني أتعهد لكم بتوفير الشفافية الكاملة حول كيفية حدوث ذلك والخطوات التي نتخذها لمنع حدوث أي شيء مثل هذا مرة أخرى”.
ماذا حدث بعد ذلك؟
وقد وضعت منظمة CrowdStrike الآن خطة أولية واسعة النطاق تهدف إلى منع وقوع مثل هذه الحادثة مرة أخرى.
يتضمن ذلك تحسين مرونة تحديثات الاستجابة السريعة من خلال إجراء المزيد من اختبارات المطورين واختبارات التحديث والتراجع واختبارات الإجهاد والاختبارات العشوائية وحقن الأخطاء واختبارات الاستقرار واختبارات واجهة المحتوى. ومن المقرر إضافة المزيد من عمليات التحقق من الصحة إلى نظام التحقق من صحة المحتوى، كما سيتم تحسين معالجة الأخطاء الحالية للمكونات الأخرى لإعداده.
كما سيتم الآن تنفيذ عمليات نشر الاستجابة السريعة المستقبلية على أساس متدرج، ونشرها تدريجيًا على أجزاء أكبر من قاعدة مستشعرات فالكون، بدءًا بما يسمى بالنشر “الكناري”. وكجزء من هذا، سيتم وضع أداء المستشعر والنظام تحت مراقبة معززة، بينما سيتم منح العملاء سيطرة أكبر على تسليم مثل هذه التحديثات، والتي ستأتي الآن أيضًا مع ملاحظات الإصدار.
