Home TECH CrowdStrike diz que validador com bugs estava por trás de uma grande...

CrowdStrike diz que validador com bugs estava por trás de uma grande interrupção

34
0


Uma grande interrupção nos PCs Windows nos EUA, Reino Unido, Austrália, África do Sul e outros países foi causada por um erro em uma atualização do CrowdStrike Falcon Sensor, anunciou a empresa de segurança em nuvem em 19 de julho. Serviços de emergência, aeroportos e autoridades policiais relataram tempo de inatividade. Sobre 8,5 milhões de dispositivos Windows Foram afetados.

O problema surgiu de uma atualização de conteúdo de resposta rápida no Falcon Sensor, disse CrowdStrike em 24 de julho. Esse tipo de atualização tem como objetivo responder a ameaças de movimento rápido e usa uma instância de modelo para definir comportamentos específicos. “Devido a um bug no Validador de conteúdo, uma das duas instâncias de modelo passou na validação, apesar de conter dados de conteúdo problemáticos” em 19 de julho, CrowdStrike escreveu em um Revisão preliminar pós-incidente. O Content Validator é um procedimento para “executar verificações de validação no conteúdo antes de sua publicação”, escreveu CrowdStrike. A Template Instance passou por outras verificações de qualidade, mas, devido ao bug, um erro foi permitido passar para a implantação.

“Quando recebido pelo sensor e carregado no Content Interpreter, o conteúdo problemático no Channel File 291 resultou em uma leitura de memória fora dos limites, disparando uma exceção”, escreveu CrowdStrike. “Essa exceção inesperada não pôde ser tratada com elegância, resultando em uma falha do sistema operacional Windows (BSOD).”

O problema não surgiu de um driver de kernel, como havia sido relatado anteriormente.

Tela Azul da Morte se espalha devido à interrupção do CrowdStrike

As organizações afetadas viram a infame Tela Azul da Morte, o alerta de falha do sistema Windows. Voos da American Airlines, United e Delta foram adiados na manhã de 19 de julho devido ao problema que impactou os sistemas de TI das companhias aéreas. O meio de comunicação britânico Sky News relatou sua própria queda de televisão sexta-feira de manhã cedo. O departamento de serviços de emergência de New Hampshire informou que está online novamente após interrupção dos serviços do 911 na manhã de sexta-feira.

“O problema foi identificado, isolado e uma correção foi implantada”, disse CrowdStrike na sexta-feira. No entanto, interrupções em algumas máquinas que foram inicialmente afetadas ainda estão sendo relatadas.

Microsoft 365 relatou um aviso de degradação do serviço na manhã de sexta-feira, mas isso parece ser um incidente separado.

A CrowdStrike fez 14,74% da receita total de software para segmentos e regiões de software de segurança em 2023, de acordo com dados que a Gartner enviou à TechRepublic por e-mail. A Microsoft fez 40,16%.

VEJA: Tempo de inatividade custa às maiores empresas do mundo 400 mil milhões de dólares por anode acordo com o Splunk.

Que medidas as empresas podem tomar se forem afetadas pela paralisação do CrowdStrike?

O primeiro passo é identificar quais hosts são impactados. A partir daí, siga Instruções do CloudStrike para reparar ou recuperar o Windows.

No sábado, a Microsoft lançou uma ferramenta de recuperação usando um ambiente de execução USB ou de pré-inicialização.

Na sexta-feira, a Microsoft recomendado reiniciar as Máquinas Virtuais do Azure executando o agente CrowdStrike Falcon. Isso pode exigir muitas reinicializações, com alguns usuários relatando sucesso após até 15. Outras opções são restaurar a partir de um backup anterior a 18 de julho às 04:09 UTC ou tentar reparar o disco do sistema operacional usando uma VM de reparo.

“Devido à maneira como a atualização foi implantada, as opções de recuperação para máquinas afetadas são manuais e, portanto, limitadas”, disse o vice-presidente e analista principal da Forrester, Andras Cser, em uma declaração preparada por e-mail para a TechRepublic. “Os administradores devem conectar um teclado físico a cada sistema afetado, inicializar no Modo de Segurança, remover a atualização comprometida do CrowdStrike e, em seguida, reinicializar. Alguns administradores também declararam que não conseguiram obter acesso às chaves de criptografia do disco rígido do BitLocker para executar etapas de correção.”

A CrowdStrike recomenda que seus clientes mantenham contato com os representantes da CrowdStrike. As organizações, mesmo aquelas não diretamente afetadas, devem verificar com seus parceiros SaaS para ver se podem estar enfrentando problemas.

Cuidado com a desinformação

Como esse incidente afeta uma gama tão ampla de grandes organizações, a possibilidade de desinformação é alta.

“Haverá muita desinformação sobre como reconfigurar seus computadores ou quais arquivos críticos do sistema excluir”, disse o ex-especialista em segurança cibernética da NSA Evan Dornbush em um e-mail para a TechRepublic. “Não seja vítima de download de soluções falsas.”

No sábado, a CrowdStrike destacou uma campanha de malware direcionada aos clientes da CrowdStrike que falam espanhol, que se disfarçou como uma correção para a interrupção. O malware é um arquivo ZIP anexado a um falso “utilitário para automatizar a recuperação”, de acordo com o CrowdStrike’s postagem de blog.

“Este é um ótimo momento para refletir sobre o gerenciamento de senhas, já que a correção pode eventualmente exigir acesso administrativo a sistemas que não foram reiniciados há algum tempo”, disse Dornbush.

Avalie seu plano de recuperação e dê suporte à sua equipe

Avalie a dependência da sua organização em um único provedor ou serviço e certifique-se de que sua organização tenha um forte processo de recuperação em vigor.

Também é um bom momento para os líderes de equipes de TI garantirem que seu pessoal tenha o suporte necessário.

“Essa interrupção ocorreu na sexta-feira à noite em algumas regiões, bem quando as pessoas estavam indo para casa para o fim de semana”, observou a analista principal da Forrester, Allie Mellen, em uma declaração preparada por e-mail para a TechRepublic. “Incidentes de tecnologia como esse exigem uma abordagem de todos os envolvidos, e suas equipes trabalharão 24 horas por dia, 7 dias por semana, durante o fim de semana para se recuperar. Dê suporte às suas equipes garantindo que elas tenham suporte adequado e intervalos de descanso para evitar esgotamento e erros. Comunique claramente as funções, responsabilidades e expectativas.”

Quando contatado para comentar, o CrowdStrike orientou o TechRepublic a a declaração oficial.

O que a CrowdStrike está fazendo em resposta?

Na Revisão Preliminar Pós-Incidente de 24 de julho, a CrowdStrike disse que está tomando as seguintes medidas para melhorar seu processo de implantação:

Resiliência e Testes de Software

  • Melhore os testes de conteúdo de resposta rápida usando tipos de teste como:
    • Teste de desenvolvedor local
    • Atualização de conteúdo e teste de reversão
    • Teste de estresse, fuzzing e injeção de falhas
    • Teste de estabilidade
    • Teste de interface de conteúdo
  • Adicione verificações de validação adicionais ao Content Validator para Rapid Response Content. Uma nova verificação está em andamento para proteger contra a implantação futura desse tipo de conteúdo problemático.
  • Melhore o tratamento de erros existente no Content Interpreter.

Implantação de conteúdo de resposta rápida

  • Implemente uma estratégia de implantação escalonada para Conteúdo de Resposta Rápida, na qual as atualizações são implantadas gradualmente em porções maiores da base de sensores, começando com uma implantação canário.
  • Melhore o monitoramento do desempenho do sensor e do sistema, coletando feedback durante a implantação do Conteúdo de Resposta Rápida para orientar uma implementação em fases.
  • Ofereça aos clientes maior controle sobre a entrega de atualizações de Conteúdo de Resposta Rápida, permitindo uma seleção granular de quando e onde essas atualizações são implantadas.
  • Forneça detalhes de atualização de conteúdo por meio de notas de versão, que os clientes podem assinar.”

Este artigo foi atualizado conforme mais informações se tornaram disponíveis. O TechRepublic entrou em contato com a Microsoft para comentar.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here