CrowdStrike が、数百万人に影響する Microsoft Windows の不正なアップデートが適切にテストされなかった理由を分析

水曜日、CrowdStrike は予備的な事後調査から得た知見を公開し、 広範囲にわたる混乱を引き起こした最近の Microsoft Windows アップデートが社内テスト中に検出されなかった理由を明らかにしました。世界中の何百万人もの人々に影響を与えたこのインシデントは、アップデート検証プロセスにおける重大な欠陥を浮き彫りにしました。
大手サイバーセキュリティ企業である CrowdStrike は、Falcon エージェントに、センサー コンテンツと迅速対応コンテンツという 2 つの異なるタイプのセキュリティ コンテンツ構成更新を提供しています。センサー コンテンツ更新は、敵対者への対応と長期的な脅威検出のための包括的な機能を提供します。これらの更新はクラウドから動的に取得されるものではなく、徹底的なテストを受けているため、顧客は自社のフリート全体にわたって展開を制御できます。
対照的に、迅速対応コンテンツは、コードを変更せずにデバイスの可視性と検出を強化するための構成データを含む独自のバイナリ ファイルで構成されています。このコンテンツは、配布前に整合性を保証するように設計されたコンポーネントによって検証されます。ただし、名前付きパイプを悪用する新しい攻撃手法に対処することを目的とした 7 月 19 日にリリースされた更新で、重大な欠陥が明らかになりました。
3 月から頼りにされてきたこの検証ツールには、欠陥のある更新プログラムが検証を通過できるようにするバグが含まれていました。追加のテストが行われなかったため、更新プログラムが展開され、約850 万台の Windows デバイスでブルー スクリーン オブ デス (BSOD) ループが発生しました。このクラッシュは、境界外のメモリ読み取りによって未処理の例外が発生したことに起因しています。CrowdStrike のコンテンツ インタープリター コンポーネントはこのような例外を管理するように設計されていますが、この問題は適切に対処されていませんでした。
この事件を受けて、CrowdStrike は、迅速な対応コンテンツのテスト プロトコルを強化することに尽力しています。計画されている改善には、ローカル開発者テスト、包括的な更新およびロールバック テスト、ストレス テスト、ファジング、安定性テスト、およびインターフェイス テストが含まれます。コンテンツ バリデーターは追加のチェックを受け、エラー処理プロセスは強化されます。さらに、迅速な対応コンテンツの段階的な展開戦略が実装され、顧客はこれらの更新をより細かく制御できるようになります。
クラウドストライクは月曜日、欠陥のあるアップデートの影響を受けたシステムの修復計画を加速すると発表し、影響を受けたデバイスの復旧はすでに大きく進展している。史上最も深刻なIT障害の1つとされるこの事件は、航空、金融、医療、教育などさまざまな分野で大きな混乱を引き起こした。
事件後、米国下院の指導者らは、クラウドストライクのCEOジョージ・カーツ氏に対し、大規模な障害への同社の関与について議会で証言するよう求めている。一方、組織やユーザーは、この事件を悪用したフィッシング、詐欺、マルウェア攻撃の増加に注意を促されている。
この出来事は、将来このような広範囲にわたる混乱を防ぐために、サイバーセキュリティにおける堅牢なテストと検証のプロセスが極めて重要であることを強調しています。