نشرت CrowdStrike مراجعة للخلل الكبير منذ بضعة أيام والذي أدى إلى تعطُّل 8.5 مليون جهاز يعمل بنظام Windows الأسبوع الماضي بعد إصدار تحديث به مشكلات. يلقي المنشور التفصيلي باللوم على خطأ في برنامج الاختبار لعدم التحقق بشكل صحيح من صحة التحديث وصل إلى ملايين الأجهزة يوم الجمعة.

تَعد CrowdStrike بعمل اختبار أكثر شمولاً للتحديثات، وتحسين معالجة الأخطاء، ونشر التحديثات بشكل مُتدرج لتجنب تكرار هذه الكارثة.

يُستخدم برنامج CrowdStrike Falcon من قبل الشركات في جميع أنحاء العالم لمساعدتهم في تجنُّب البرامج الضارة والانتهاكات الأمنية على الملايين من أجهزة Windows. أصدرت CrowdStrike يوم الجمعة تحديثًا لإعداد المحتوى لبرنامجها الذي كان من المفترض أن "يجمع معلومات عن تقنيات التهديد الجديدة المحتملة".

تُصدر CrowdStrike عادةً تحديثات الإعداد بطريقتين مُختلفتين. يوجد ما يُسمّى محتوى نظام الاستشعار الذي يقوم مُباشرةً بتحديث نظام استشعار Falcon الخاص بـ CrowdStrike والذي يعمل على مُستوى kernel في Windows.

كما يوجد بشكل مُنفصل مُحتوى الاستجابة السريعة الذي يقوم بتحديث كيفية تصرف هذا الحسّاس لاكتشاف البرامج الضارة. تسبب ملف محتوى الاستجابة السريعة الصغير بحجم 40 كيلو بايت في حدوث مشكلة يوم الجمعة.

لا تأتي تحديثات المستشعر الفعلي من السحابة، وعادةً ما تتضمن نماذج الذكاء الاصطناعي والتعلم الآلي التي ستسمح لـ CrowdStrike بتحسين قدرات الكشف على المدى الطويل. تتضمن بعض هذه الإمكانات شيئًا يسمى أنواع القوالب، وهو عبارة عن أكواد برمجية تتيح اكتشافًا جديدًا ويتم إعداده حسب نوع مُحتوى الاستجابة السريعة.

على الجانب السحابي، تدير CrowdStrike نظامها الخاص الذي يقوم بإجراء فحوصات للتحقق من صحة المُحتوى قبل إصداره لمنع وقوع حادث مثل يوم الجمعة. أصدرت CrowdStrike تحديثين لمُحتوى الاستجابة السريعة الأسبوع الماضي، أو ما يطلق عليه أيضًا "Template Instances".

على الرغم من أن CrowdStrike تُجري اختبارًا آليًا ويدويًا على محتوى الاستشعار وكذلك Template Instances، إلا أنه لا يبدو أنها أجرت اختبارًا شاملًا على محتوى الاستجابة السريعة الذي تم قدمته يوم الجمعة.

لقد وفر نشر أنواع Template Instances الجديدة في شهر مارس "الثقة في عمليات التحقق التي يتم إجراؤها في أداة التحقق من المحتوى"، لذا يبدو أن CrowdStrike افترض أن طرح مُحتوى الاستجابة السريعة لن يُسبب مشكلة.

أدى هذا الافتراض إلى قيام المستشعر بتحميل محتوى الاستجابة السريعة الذي به مشكلات في مترجم المحتوى الخاص به واستثناءه من الذاكرة. توضح CrowdStrike: "لم يمكننا التعامل مع هذا الاستثناء غير المتوقع بأمان، مما أدّى إلى تعطل نظام ويندوز (BSOD)".

ولمنع حدوث ذلك مرة أخرى، تعد CrowdStrike بتحسين اختبار محتوى الاستجابة السريعة باستخدام اختبار المطورين المحليين وتحديث المحتوى واختبار التراجع، إلى جانب اختبار الضغط والتشويش وحقن الأخطاء. ستقوم CrowdStrike أيضًا بإجراء اختبار الاستقرار واختبار واجهة المحتوى على محتوى الاستجابة السريعة.

تقوم CrowdStrike أيضًا بتحديث أداة التحقق من المحتوى المستندة إلى السحابة للتحقق بشكل أفضل من إصدارات محتوى الاستجابة السريعة. يقول CrowdStrike: "تجري حاليًا عملية فحص جديدة للحماية من نشر هذا النوع من المحتوى الخاطئ في المستقبل".

على جانب السائق، ستعمل CrowdStrike على "تحسين مُعالجة الأخطاء الموجودة في Content Interpreter"، وهو جزء من مستشعر Falcon.

ستنشر CrowdStrike أيضًا محتوى الاستجابة السريعة تدريجيًا، بدلاً من الدفع الفوري لجميع الأنظمة. وقد أوصى خبراء الأمن في الأيام الأخيرة بتحسينات السوفت وير وعمليات النشر المتدرجة.