جریان به روز رسانی معیوب CrowdStrike و اختلال سراسری در سیستم های ویندوزی چه بود؟

از دیروز، سرورهای مایکروسافت در سراسر جهان “صفحه آبی مرگ” وحشتناک را به نمایش گذاشتند که منجر به قطعی گسترده زیر ساختهای فناوری اطلاعات و اختلال در تجارت، خطوط هوایی و پروازها، ارائه دهندگان مراقبت های بهداشتی، بانک ها و موارد دیگر شد. اخبار آن نیز به صورت گسترده در همه دنیا منتشر شد، اما علت این حادثه: یک به‌روزرسانی معیوب برای CrowdStrike Falcon Sensor که یک برنامه EDR مبتنی بر ابر است و در بسیاری از شرکتهای دنیا استفاده می شود.
CrowdStrike اعلام کرده است که تیم مهندسی این شرکت، مشکلی را که باعث اختلال گسترده در سیستم‌های مبتنی بر ویندوز شده است شناسایی کرده: اشکالی در پالیسی پیشگیری از اسکن حافظه، که مشکل آن در مراحل آزمایش تشخیص داده نشده بود.
یک مدیر ارشد در Critical Start، در گزارش خود می گوید «در حالی که CrowdStrike احتمالاً تست‌های رگرسیون و عملکرد استاندارد را انجام داده است اما این تست‌ها کافی نبودند چرا که محیط استقرار در دنیای واقعی را شبیه‌سازی نمی‌کردند، در یک محیط واقعی این باگ باعث می شود حسگر Falcon از ظرفیت 100% یک هسته CPU استفاده کند. این مشکل در نهایت منجر به مشکلات عملکرد سیستم شده است.
CrowdStrike در حال حاضر به‌روزرسانی نرم‌افزار فالکون معیوب را برگردانده است. اما با این وجود هنوز برخی از کاربران با خرابی سیستم مواجه هستند یا نمی‌توانند برای دریافت نسخه جدید و ثابت، آنلاین بمانند و البته شرکت سازنده راه کار مرحله ای برای حل مشکل ارائه کرده است.
مدیر عامل مایکروسافت در پستی در پلتفرم اجتماعی X گفت که این شرکت از این مشکل مطلع است و از نزدیک با CrowdStrike برای ارائه پشتیبانی فنی به مشتریان خود و بازگرداندن سیستم های آنها به صورت آنلاین همکاری می کند.
فرآیند بررسی مایکروسافت 365 کامل شده است و آمار آن نشان می‌دهد که همه برنامه‌ها و سرویس‌های مایکروسافت 365 که تحت تأثیر قرار گرفته اند، با ورود به دوره نظارت برای اطمینان از رفع کامل مشکلات، اصلاح شده اند.
رئیس و مدیر عامل CrowdStrike، نیز در پستی اعلام کرده است: “سیستمهای مک و هاست لینوکس تحت تأثیر این مشکل قرار نمی‌گیرند». این مشکل یک حادثه امنیتی یا حمله سایبری نیست. علت آن شناسایی و ایزوله شده است و راه حلی برای رفع آن نیز ارائه شده است. ما کاربران را برای آخرین به روز رسانی ها به پورتال پشتیبانی ارجاع می دهیم و به ارائه به روز رسانی کامل و مستمر در وب سایت خود ادامه خواهیم داد. “
مرکز CISA در یک هشدار اعلام کرد که از این قطعی مطلع است و عوامل تهدید کننده ای را که تلاش می کنند از طریق فیشینگ و سایر فعالیت های مخرب سایبری از این حادثه سوء استفاده کنند، را تحت نظر دارد. انواع دیگر فعالیت‌های مشاهده‌ شده از جعل هویت کارکنان CrowdStrike در تماس‌های تلفنی گرفته تا خودنمایی به عنوان محققان مستقل و ادعای داشتن شواهدی مبنی بر مرتبط بودن موضوع فنی با یک حمله سایبری را شامل می‌شود.
CrowdStrike که از آن زمان به دلیل خرابی های ناشی از به روز رسانی ناکارآمد عذرخواهی کرده است، گفت که “شدت و تاثیر موقعیت را درک می کند” و آگاه است که “مهاجمان سایبری سعی خواهند کرد از چنین رویدادهایی سوء استفاده کنند.”
مرکز CISA به سازمان‌ها توصیه می‌کند که به کارمندان خود یادآوری کنند که روی ایمیل‌های فیشینگ یا لینک‌های مشکوک کلیک نکنند.

این رخداد، نقض اطلاعات نیست، اما یک اتفاق نگران کننده است

به گفته یک تحلیلگر امنیت سایبری در Omdia، در صنعتی که اقدامات و خدمات امنیت سایبری برای محافظت از شرکت ها بدون ایجاد وقفه انجام می شود، این قطعی ثابت می کند که “حتی اشکالات امنیت سایبری غیر مخرب می تواند کسب و کارها را به زانو درآورد.” این حادثه عظیم بر اتکای بیش از حد به سرویس‌های ابری تأکید داشته و ممکن است سازمان‌ها را وادار کند تا در انتقال برنامه‌های کاربردی حیاتی خود به فضاهای ابری تجدیدنظر کنند.
این تحلیلگر می گوید: «تحلیلگران Cloud و Data Center Omdia مدت‌هاست که در مورد اتکای بیش از حد به خدمات ابری هشدار داده‌اند. چنین مشکلاتی شرکت‌ها را وادار می‌کند تا در مورد جابجایی برنامه‌های کاربردی حیاتی خارج از محل تجدیدنظر کنند. اثر اینگونه اختلالات موجی عظیم است و به CrowdStrike، مایکروسافت، AWS، Azure، Google و فراتر از آن ضربه می‌زند.
یک استراتژیست امنیتی در ForAllSecure در بیانیه ای اعلام کرده است که به قوانین و راهنمایی های قوی تری در مورد مسئولیت های شرکتهای سازنده محصولات امنیتی برای آزمایش عملکردی نیاز است. اگر رفتار نرم افزارها و اپلیکیشن های خود را با شرایط غیرمنتظره با هر به روز رسانی آزمایش نکنید – این نوع مشکلات همیشه یک خطر خواهد بود. این محصولی است که با امتیازات بالایی در رنکینگ ها معرفی می‌شود و از اندپوینتها محافظت می‌کند. یک نقص در چنین محصولی، همانطور که در حادثه فعلی مشاهده می‌کنیم، می‌تواند باعث از کار افتادن سیستم عامل شود.
انتظار می رود که بازیابی این مشکل چند روز طول بکشد چرا که مشکل باید به صورت دستی، اندپوینت به اندپوینت و با راه اندازی آنها در safe mode و حذف درایور معیوب حل شود.
به گفته مایکروسافت: “تغییر پیکربندی در بخشی از workloadهای Azure، باعث وقفه بین منابع ذخیره سازی و محاسباتی شد که منجر به خرابی در اتصال شد و سرویسهای پایین دستی مایکروسافت 365 وابسته به این اتصالات را تحت تاثیر قرار داد.”
شرکت CrowdStrike همچنین جزئیات فنی بیشتری را به اشتراک گذاشته است و خاطرنشان کرد که در حال حاضر در حال انجام تجزیه و تحلیل علت اصلی برای تعیین اینکه چگونه این نقص رخ داده، است.
به‌روزرسانی‌های پیکربندی حسگر بخشی از مکانیسم‌های حفاظتی پلتفرم Falcon است. “این به‌روزرسانی پیکربندی یک خطای منطقی را ایجاد کرد که منجر به خرابی سیستم و صفحه آبی (BSOD) در سیستم‌های آسیب‌دیده شد.

منبع:

thehackernews.com

darkreading.com