CrowdStrike は、先週 850 万台の Windows マシンをダウンさせたバグの多いアップデートについて、インシデント後のレビューを公開しました。詳細な投稿はバグのせいです金曜日に数百万台のマシンにプッシュされたコンテンツ更新を適切に検証しなかったとして、テスト ソフトウェアで問題が発生しました。CrowdStrike は、コンテンツの更新をより徹底的にテストし、エラー処理を改善し、この惨事の繰り返しを避けるために段階的に導入することを約束しています。

CrowdStrike の Falcon ソフトウェアは、数百万台の Windows マシン上でマルウェアやセキュリティ侵害を管理するために世界中の企業で使用されています。金曜日、CrowdStrike は、「新たな脅威手法の可能性に関するテレメトリを収集する」ことを目的とした自社ソフトウェアのコンテンツ構成アップデートを発行しました。これらのアップデートは定期的に配信されますが、この特定の構成アップデートは Windows のクラッシュを引き起こしました。

CrowdStrike は通常、2 つの異なる方法で構成更新を発行します。Windows のカーネル レベルで実行される CrowdStrike 独自の Falcon センサーを直接更新するセンサー コンテンツと呼ばれるものがあり、それとは別に、マルウェアを検出するセンサーの動作を更新する Rapid Response コンテンツもあります。金曜日の問題は、40KB の小さな Rapid Response Content ファイルが原因でした。

実際のセンサーの更新はクラウドから行われるのではなく、通常、CrowdStrike の検出機能を長期的に向上できる AI および機械学習モデルが含まれています。これらの機能の一部には、テンプレート タイプと呼ばれるものが含まれています。これは、新しい検出を可能にするコードであり、金曜日に配信された個別の Rapid Response コンテンツのタイプによって構成されます。

クラウド側では、CrowdStrike が独自のシステムを管理し、金曜日のようなインシデントの発生を防ぐために、リリース前にコンテンツの検証チェックを実行します。CrowdStrike は先週、2 つの Rapid Response Content アップデート、またはテンプレート インスタンスと呼ばれるものをリリースしました。CrowdStrike によると、「コンテンツ バリデーターのバグにより、2 つのテンプレート インスタンスのうち 1 つが、問題のあるコンテンツ データが含まれているにもかかわらず検証に合格しました」とのことです。

CrowdStrike はセンサー コンテンツとテンプレート タイプについて自動テストと手動テストの両方を実行していますが、金曜日に配信された Rapid Response コンテンツについてはそれほど徹底的なテストを行っていないようです。新しいテンプレート タイプの 3 月の展開では、「コンテンツ バリデーターで実行されるチェックの信頼性」が提供されたため、CrowdStrike は、Rapid Response Content のロールアウトによって問題が発生しないと想定していたようです。

この想定により、センサーは問題のある Rapid Response コンテンツをコンテンツ インタプリタにロードし、境界外のメモリ例外をトリガーしました。「この予期しない例外は適切に処理できず、Windows オペレーティング システムのクラッシュ (BSOD) が発生しました」と CrowdStrike は説明しています。

このようなことが再び起こらないようにするために、CrowdStrike は、ストレス テスト、ファジング、フォールト インジェクションと並行して、ローカル開発者テスト、コンテンツ更新およびロールバック テストを使用して、Rapid Response Content テストを改善することを約束しています。CrowdStrike は、Rapid Response Content の安定性テストとコンテンツ インターフェイス テストも実行します。

CrowdStrike は、Rapid Response Content リリースのチェックを強化するために、クラウドベースの Content Validator も更新しています。「今後、この種の問題のあるコンテンツが展開されないようにするため、新しいチェックが進行中です」と CrowdStrike は述べています。

ドライバー側では、CrowdStrike は Falcon センサーの一部である「コンテンツ インタープリターの既存のエラー処理を強化します」。CrowdStrike は、Rapid Response Content の段階的な展開も実装し、更新をすべてのシステムに即座にプッシュするのではなく、インストール ベースの大部分に徐々に展開するようにします。ドライバーの改善と段階的な展開の両方が行われています。セキュリティ専門家が推奨する最近では。