فاجعه خرابی ۸٫۵ میلیون کامپیوتر ویندوزی به‌دلیل وجود باگ کوچکی در ابزار تست CrowdStrike بوده است

شرکت CrowdStrike گزارش فنی مربوط‌به به‌روزرسانی معیوبی را که هفته‌ی اخیر منجر به از کار افتادن ۸٫۵ میلیون دستگاه ویندوز شد منتشر کرد. این گزارش مفصل، وجود باگ در نرم‌افزار تست را عامل تأییدشدن صحت محتوای آپدیت می‌داند. CrowdStrike قول داد تا تست‌های آپدیت محتوا را با دقت بیشتری انجام دهد، مدیریت خطا را بهبود بخشد و برای جلوگیری از تکرار چنین فاجعه‌ای، استقرار به‌روزرسانی را به‌صورت مرحله‌ای اجرا کند.

کسب‌وکارهای سراسر جهان برای کمک به مقابله با بدافزارها و حملات امنیتی در میلیون‌ها دستگاه ویندوزی از نرم‌افزار Falcon شرکت CrowdStrike استفاده می‌کنند. روز جمعه، CrowdStrike به‌روزرسانی پیکربندی محتوا را برای نر‌م‌افزار خود منتشر کرد که قرار بود برای جمع‌آوری داده‌ها درمورد تکنیک‌های تهدید احتمالی جدید عمل کند. این آپدیت‌ها به‌طور مرتب ارائه می‌شوند، اما به‌روزرسانی روز جمعه باعث خرابی ویندوز شد.

CrowdStrike معمولاً بروزرسانی‌های پیکربندی را به دو روش مختلف ارائه می‌دهد. نوعی از آن وجود دارد که به‌عنوان Sensor Content شناخته می‌شود و مستقیماً Falcon Sensor اختصاصی CrowdStrike که در سطح هسته‌ی ویندوز اجرا میشود را به‌روز می‌کند. نوع دیگر آپدیت این شرکت Rapid Response Content نام دارد که نحوه‌ی عملکرد Falcon Sensor را برای شناسایی بدافزار به‌روز می کند. در این میان یک فایل کوچک ۴۰ کیلوبایتی از Rapid Response Content، باعث ایجاد مشکل روز جمعه شد.

به‌روزرسانی‌های واقعی Sensor از فضای ابری نمی‌آیند و معمولاً شامل مدل‌های هوش مصنوعی و یادگیری ماشین هستند که به CrowdStrike اجازه می‌دهند قابلیت‌های تشخیص بدافزار و تهدیدهای امنیتی خود را در بلندمدت بهبود بخشد. برخی از این قابلیت‌ها شامل چیزی به نام Template Types است که کد آن، امکان تشخیص‌های جدید را فراهم می‌کند و نوع جداگانه‌ای از Rapid Response Content که روز جمعه ارائه شد، وظیفه‌ی پیکربندی آن را برعهده دارد.

CrowdStrike سیستم ابری اختصاصی خود را مدیریت می‌کند که بررسی‌های لازم را قبل از انتشار محتوا انجام می‌دهد تا از وقوع حادثه‌ای مانند آپدیت اخیر جلوگیری کند و هفته‌ی گذشته دو به‌روزرسانی Rapid Response Content نیز منتشر کرد. CrowdStrike می‌گوید: «به‌دلیل وجود باگ در اعتبارسنج محتوا (Content Validator)، یکی از دو آپدیت Rapid Response Content که با نام Template Instances نیز شناخته می‌شوند، باوجود اینکه حاوی داده‌های مشکل‌دار بود، تأییدیه‌ی اعتبارسنج را دریافت کرد.»

اگرچه CrowdStrike تست‌های خودکار و دستی را روی Sensor Content و Template Types انجام می‌دهد، به‌نظر نمی‌رسد که تست‌های دقیقی روی محتوای Template Instances روز جمعه انجام داده باشد. استقرار نمونه‌های الگوی جدید در ماه مارس (اسفند ۱۴۰۲ و فروردین ۱۴۰۳)، اعتماد به بررسی‌های انجام‌شده در اعتبارسنج محتوا را به‌همراه داشت، بنابراین CrowdStrike فرض کرده است که استقرار محتوای Template Types مشکلی ایجاد نخواهد کرد.

Getty Images

فرض اشتباه CrowdStrike منجر به بارگذاری محتوای حاوی باگ Template Types شد. CrowdStrike توضیح می‌دهد: «این استثنای غیرمنتظره به‌درستی مدیریت نشد و در نتیجه خرابی سیستم‌عامل ویندوز و مشکل صفحه آبی مرگ را به‌دنبال داشت.»

CrowdStrike برای جلوگیری از تکرار اتفاق مشابه در انتشار آپدیت‌هایش، وعده داد تست Rapid Response Content خود را با استفاده از تست توسعه‌دهندگان محلی، تست به‌روزرسانی، تست بازگشت محتوا و تست استرس و تزریق خطا بهبود بخشد. این شرکت همچنین تست پایداری و تست رابط محتوا را روی Rapid Response Content انجام خواهد داد.

CrowdStrike درحال به‌روزرسانی اعتبارسنج محتوای مبتنی‌بر ابر خود است تا بررسی بهتری روی Rapid Response Content انجام دهد. CrowdStrike می گوید: «بررسی جدیدی درحال انجام است تا از استقرار این نوع محتوای مشکل‌دار در آینده جلوگیری کند.»

CrowdStrike در بخش درایور، مدیریت خطای موجود در Content Interpreter را که بخشی از Falcon Sensor محسوب می‌شود بهبود خواهد داد. این شرکت همچنین استقرار متناوب Rapid Response Content را اجرا و تضمین می‌کند.