CrowdStrike ha publicado una revisión posterior al incidente de la actualización con errores que publicó y que eliminó 8,5 millones de máquinas con Windows la semana pasada.La publicación detallada culpa a un error.en software de prueba por no validar adecuadamente la actualización de contenido que se envió a millones de máquinas el viernes.CrowdStrike promete probar más exhaustivamente sus actualizaciones de contenido, mejorar su manejo de errores e implementar una implementación escalonada para evitar que se repita este desastre.

El software Falcon de CrowdStrike es utilizado por empresas de todo el mundo para ayudar a gestionar el malware y las violaciones de seguridad en millones de máquinas con Windows.El viernes, CrowdStrike publicó una actualización de configuración de contenido para su software que se suponía "recopilaría telemetría sobre posibles técnicas novedosas de amenaza". Estas actualizaciones se entregan regularmente, pero esta actualización de configuración en particular provocó que Windows fallara.

CrowdStrike normalmente publica actualizaciones de configuración de dos maneras diferentes.Existe lo que se llama Sensor Content que actualiza directamente el propio sensor Falcon de CrowdStrike que se ejecuta a nivel de kernel en Windows y, por separado, existe Rapid Response Content que actualiza cómo se comporta ese sensor para detectar malware.Un pequeño archivo de contenido de respuesta rápida de 40 KB causó el problema del viernes.

Las actualizaciones del sensor real no provienen de la nube y, por lo general, incluyen modelos de inteligencia artificial y aprendizaje automático que permitirán a CrowdStrike mejorar sus capacidades de detección a largo plazo.Algunas de estas capacidades incluyen algo llamado Tipos de plantilla, que es un código que permite la detección nueva y se configura según el tipo de Contenido de respuesta rápida independiente que se entregó el viernes.

En el lado de la nube, CrowdStrike administra su propio sistema que realiza comprobaciones de validación del contenido antes de su publicación para evitar que ocurra un incidente como el del viernes.CrowdStrike lanzó dos actualizaciones de contenido de respuesta rápida la semana pasada, o lo que también llama instancias de plantilla."Debido a un error en el validador de contenido, una de las dos instancias de plantilla pasó la validación a pesar de contener datos de contenido problemáticos", dice CrowdStrike.

Si bien CrowdStrike realiza pruebas tanto automáticas como manuales sobre el contenido de sensores y los tipos de plantillas, no parece realizar pruebas tan exhaustivas sobre el contenido de respuesta rápida que se entregó el viernes.Una implementación en marzo de nuevos tipos de plantillas proporcionó "confianza en las comprobaciones realizadas en el Validador de contenido", por lo que CrowdStrike parece haber asumido que la implementación del contenido de respuesta rápida no causaría problemas.

Esta suposición llevó al sensor a cargar el contenido de respuesta rápida problemático en su intérprete de contenido y desencadenar una excepción de memoria fuera de los límites."Esta excepción inesperada no se pudo manejar correctamente, lo que provocó una falla del sistema operativo Windows (BSOD)", explica CrowdStrike.

Para evitar que esto vuelva a suceder, CrowdStrike promete mejorar sus pruebas de contenido de respuesta rápida mediante el uso de pruebas de desarrolladores locales, actualizaciones de contenido y pruebas de reversión, junto con pruebas de estrés, fuzzing e inyección de fallas.CrowdStrike también realizará pruebas de estabilidad y pruebas de interfaz de contenido en contenido de respuesta rápida.

CrowdStrike también está actualizando su Validador de contenido basado en la nube para verificar mejor los lanzamientos de Contenido de respuesta rápida."Se está realizando una nueva verificación para evitar que este tipo de contenido problemático se implemente en el futuro", dice CrowdStrike.

Del lado del conductor, CrowdStrike “mejorará el manejo de errores existentes en el Content Interpreter”, que forma parte del sensor Falcon.CrowdStrike también implementará una implementación escalonada de contenido de respuesta rápida, asegurando que las actualizaciones se implementen gradualmente en porciones más grandes de su base de instalación en lugar de un envío inmediato a todos los sistemas.Tanto las mejoras de los controladores como las implementaciones escalonadas han sidorecomendado por expertos en seguridaden los últimos días.