CrowdStrike, cuma günü Falcon siber güvenlik platformunda meydana gelen ve tarihin en büyük kesintisi ya da bir tanesi olan hatalı güncellemeyle ilgili yeni ayrıntıları paylaştı. Şirket bugün yayımlanan ön olay raporunda, güncellemenin “sınır dışı bellek okuması” olarak bilinen bir hata türüne neden olduğunu açıkladı.
Bu hata, etkilenen Falcon kurulumlarının dağıtıldığı milyonlarca (tahminen 8,5 milyon) Windows cihazı çökertti. Bu cihazların kullanıldığı firmalar arasında havayolu şirketleri, bankalar, hastaneler, devlet kurumları gibi çok büyük şirketler var. Bazı işletmeler hala sistemlerini tamamen geri yüklemedi.
Nasdaq’ta listelenen CrowdStrike, dünya çapında 29.000’den fazla müşterisiyle dünyanın en büyük siber güvenlik sağlayıcılarından biridir. Falcon platformu, çalışanların cihazlarını ve diğer sistemleri bilgisayar korsanlarından korumak için kullanılır. Platform, koruduğu bilgisayarlara bir sensör veya hafif izleme programı yükleyerek ve bunu kötü amaçlı etkinlikleri taramak için kullanarak kötü amaçlı yazılımları engeller. CrowdStrike, güncellemeleri dağıtmak için kullandığı sistemlere yönelik güvenilirlik iyileştirmeleriyle birlikte ileride tam bir olay raporu yayımlamayı planlıyor.
Sigorta şirketi Parametrix Insurance, olayın yalnızca Fortune 500 üyelerine 5,4 milyar dolara mal olduğunu tahmin ediyor. Bu meblağ Microsoft Corp.’un karşılaşabileceği olası masrafları içermiyor.
CrowdStrike, yeni bulunan (tanımlanan) bilgisayar korsanlığı taktikleri nedeniyle, Falcon’un sensörünü “Hızlı Tepki İçeriği Rapid Response)” güncellemeleriyle düzenli olarak geliştiriyor. Falcon sensörü, bu verileri, üzerine kurulduğu cihazı ihlal göstergeleri açısından taramak için kullanıyor. CrowdStrike, bugün yayınlanan ön olay raporunda, en son Hızlı Tepki İçeriği güncellemelerinden birinin geçen haftaki Windows çökmelerine neden olduğunu açıkladı.
Güncelleme, şirketin Cuma sabahı yayınladığı iki güncellemeden biriydi. CrowdStrike’a göre, her ikisi de yeni Hızlı Tepki İçeriğini otomatik olarak hatalara karşı taramak üzere tasarlanmış İçerik Doğrulayıcısı olarak bilinen dahili bir sistemden geçti. Sistem hatalı güncellemeyi tespit edemedi ve dolayısıyla yayınlanmasını engellemedi.
Güncellemeyi alan Falcon sensörleri, İçerik Yorumlayıcısı olarak bilinen dahili bir bileşeni kullanarak bunu çalıştırmayı denedi. Bu, bir programın ana bilgisayarının kullanma izni olmadığı RAM’inin bir bölümüne erişmeye çalıştığında ortaya çıkan bir tür hata olan sınır dışı bellek okumasına neden oldu. Sınır dışı bellek okuması, etkilenen Windows makinelerinin çökmesine neden olan şeydir. CrowdStrike şöyle açıklıyor :
“Kapsam dahilindeki sistemler arasında, 19 Temmuz 2024 Cuma 04:09 UTC ile 19 Temmuz 2024 Cuma 05:27 UTC arasında çevrimiçi olan ve güncellemeyi alan sensör sürümü 7.11 ve üzerini çalıştıran Windows ana bilgisayarları yer alıyor. İçerik güncellemesindeki kusur, 19 Temmuz 2024 Cuma günü 05:27 UTC’de geri alındı. Bu saatten sonra çevrimiçi olan veya Windows’a bağlanmayan sistemler etkilenmedi.”
Benzer olayların gelecekte yaşanmasını önlemek için CrowdStrike, Rapid Response Content güncellemelerini hatalara karşı daha kapsamlı bir şekilde taramaya başlayacağını açıkladı. Şirket, geliştiricilerinin bu amaçla yarım düzineden fazla farklı yazılım test yöntemi kullanacağını belirtti. Şirketin benimseyeceği tekniklerden biri, güvenilir bir şekilde kurtarılıp kurtarılamayacağını kontrol etmek için bir programa kasıtlı olarak hatalar sokmayı içeren hata enjeksiyonu.
Şirket ayrıca güncellemeleri dağıtmak için kullandığı sistemleri de yükseltecek. Yayınlanmadan önce Hızlı Yanıt İçeriği güncellemelerinin güvenilirliğini kontrol etmek için kullandığı arka uç platformu olan Content Validator, hataları tespit etmek için ek “doğrulama” özellikleri alacak. Özelliklerden biri, geçen haftaki Windows çökmelerine neden olan türden hataları tespit etmek için özel olarak tasarlandı.
CrowdStrike ayrıca güncelleme yönetimi altyapısının diğer bölümlerini de geliştirecek. Şirket, bundan sonra Rapid Response Content’i tüm kurulu tabanına bir kerede değil kademeli olarak dağıtmayı planlıyor. CrowdStrike geliştiricileri, başlangıçtaki “kanarya” cihaz koleksiyonuna bir güncelleme dağıttıktan sonra, geliştirmeyi daha geniş bir şekilde yayınlamadan önce hataları kontrol edecekler.
Platformun müşteri bilgisayarlarına yüklediği hafif program olan Falcon sensörü de girişimin bir parçası olarak yükseltilecek. CrowdStrike, sensörü hatalı güncellemelerden kurtulmak için yeni özelliklerle donatmayı planlıyor. Dahası, Falcon müşterileri güncellemeleri nasıl ve ne zaman indirmek istediklerini özelleştirme seçeneğine sahip olacaklar.
Kaynak : 