Скорошният глобален ИТ срив, засегнал потребителите на Microsoft Windows, е причинен от грешка в актуализация на съдържанието за защита на продукт на CrowdStrike (Falcon Strike). Полученото в резултат на това широко разпространено въздействие показва, че е спешно необходимо да се поддържат строги процеси за осигуряване на качеството (QA), преди продуктите или техните актуализации да бъдат пуснати в производство. Това е вярно за всеки софтуер, но при продуктите за киберсигурност, които защитават крайни точки и изискват повишени привилегии в операционни системи (ОС) като Windows и други, дори незначителна грешка при пускането на актуализация може да доведе до изключване на сървърите, което в този случай се сигнализира със зациклящ „син екран на смъртта“ (BSOD).
Това не е първият случай, в който софтуер за сигурност на крайни точки срива операционни системи като Windows. В миналото актуализациите за сигнатури или откриване, които са легитимни и изключително важни, са имали грешки, които са ги карали да идентифицират неправилно критичен компонент в операционната система като зловреден софтуер и след това да се опитат да блокират или поставят под карантина критични файлове на операционната система. Така една на пръв поглед незначителна „грешка“ в дадена актуализация може да доведе до срив на системите и да предизвика ефекта на доминото в глобалните системи на организациите, които използват този продукт.
Проблемът на CrowdStrike беше по-различен, но все пак имаше същото въздействие. В една от ежедневните актуализации на поведенческите защити на техния продукт имаше грешка, която поставяше операционната система Windows в BSOD и това състояние продължаваше при рестартиране, докато компютърът не се стартираше в режим на възстановяване, за да се следва поправката на CrowdStrike. Тъй като много предприятия от световни авиокомпании, финансови институции и здравеопазване използват засегнатия продукт, този бъг в актуализациите на защитата извади от строя компютрите на тези организации.
В първите медийни съобщения неправилно беше посочено или намекнато, че проблемът на CrowdStrike е причинил прекъсване на работата на Microsoft Azure, но това беше отделен и несвързан инцидент, който вече е разрешен.
Ще продължим да следим този проблем и ще предоставяме актуализации при необходимост. Освен това разглеждаме този въпрос в новия епизод на подкаста The 443 Security Simplified.
Последици за партньорите на WatchGuard
За партньорите на WatchGuard няма въздействие, освен ако не продават директно продукти на CrowdStrike. Партньорите, които работят със засегнати клиенти, ще трябва да помогнат за възстановяването на системите им, като инсталират необходимата поправка на CrowdStrike в безопасен режим. Продуктите на WatchGuard остават незасегнати от тези инциденти.