Windows Frissítés Hibája: Több Millió PC-Összeomlás
Több millió Windows PC omlott össze múlt héten a CrowdStrike Falcon biztonsági szoftver hibás frissítése miatt. A CrowdStrike vezérigazgatója, George Kurtz csütörtökön közölte, hogy a Falcon szenzorszoftvert futtató összes Windows rendszer 97 százaléka ismét online, egy héttel azután, hogy a vállalati biztonsági szoftver frissítése okozta leállás késéseket okozott a repülőjáratokban és a sürgősségi rendszerek leállását is eredményezte, több más zavar mellett.
A frissítés, amely a rettegett Kék Halál képernyőt (Blue Screen of Death) idézte elő és újraindulásra késztette a Windows PC-ket, a Microsoft szerint mintegy 8,5 millió rendszert érintett, így körülbelül 250,000 rendszer maradt, amelyeket még mindig vissza kell állítani.
John Cable, a Microsoft alelnöke egy blogbejegyzésében közölte, hogy a vállalat „több mint 5,000 támogatási mérnököt mozgósított, akik 24/7-ben dolgoznak” a CrowdStrike frissítése által okozott károk helyreállítása érdekében, és utalt a Windows változtatásaira, amelyek segíthetnek – ha nem ütköznek szabályozói akadályokba.
„Ez az eset egyértelműen megmutatja, hogy a Windowsnak prioritást kell adnia a végponttól végpontig tartó ellenállóképesség változtatásának és innovációjának,” írta Cable. „Ezeknek a fejlesztéseknek kéz a kézben kell járniuk a folyamatos biztonsági javításokkal, és szoros együttműködésben kell lenniük számos partnerünkkel, akik szintén mélyen törődnek a Windows ökoszisztéma biztonságával.”
Kernel Szintű Hozzáférés
Cable példaként említette a VBS enclave-ket és az Azure Attestation-t, mint olyan termékeket, amelyek biztonságban tarthatják a Windowst anélkül, hogy kernel szintű hozzáférést igényelnének, ahogy a legtöbb Windows-alapú biztonsági termék (beleértve a CrowdStrike Falcon szenzort is) jelenleg tesz. De nem részletezte, milyen konkrét változtatásokat eszközölhetnek a Windowsban, csak annyit mondott, hogy a Microsoft továbbra is „megerősíti platformunkat, és még többet tesz a Windows ökoszisztéma ellenállóképességének javítása érdekében, nyíltan és együttműködve a széles biztonsági közösséggel.”
Amikor egy biztonsági szoftver kernel módban fut a felhasználói mód helyett, teljes hozzáféréssel rendelkezik a rendszer hardveréhez és szoftveréhez, ami hatékonyabbá és rugalmasabbá teszi; ez azt is jelenti, hogy egy rossz frissítés, mint a CrowdStrike-é, sokkal több problémát okozhat.
macOS és Microsoft
A macOS legújabb verziói pontosan emiatt elavulttá tették a harmadik féltől származó kernel kiterjesztéseket, ez egyike azon magyarázatoknak, hogy miért nem omlottak össze a Mac-ek a CrowdStrike frissítése miatt. Azonban a Microsoft korábbi próbálkozásai, hogy kizárják a harmadik féltől származó biztonsági cégeket a Windows kerneléből – legutóbb a Windows Vista korszakban – ellenállásba ütköztek az Európai Bizottság szabályozóinál. Ez a szkepticizmus indokolt, tekintve a Microsoft múltbeli (és folyamatos) rekordját a Windows piaci pozíciójának kihasználásában saját termékeinek és szolgáltatásainak előmozdítása érdekében. Bármely jelenlegi próbálkozás, hogy korlátozzák a harmadik féltől származó eladók hozzáférését a Windows kerneléhez, hasonló felügyeletet vonna maga után.
A Microsoftnak mostanában saját biztonsági problémáival is szembe kellett néznie, annyira, hogy ígéretet tett a vállalat átszervezésére, hogy a biztonságra nagyobb hangsúlyt fektessen.
CrowdStrike Utóhatás
A CrowdStrike a leállás után saját ígéreteket tett, beleértve az alaposabb frissítési tesztelést és egy szakaszos bevezetési rendszert, amely megakadályozhatja, hogy egy rossz frissítési fájl akkora problémát okozzon, mint a múlt heti. A cég kezdeti eseményjelentése a tesztelési eljárások hiányosságát nevezte meg a probléma okaként.
Mindeközben a helyreállítás folytatódik. Néhány rendszert egyszerűen újraindítással lehetett javítani, bár akár 15-ször is újra kellett indítani őket – ez lehetőséget adott a rendszereknek, hogy új frissítési fájlt szerezzenek be, mielőtt összeomlottak volna. A többiek számára az IT adminoknak vagy vissza kellett állítaniuk őket biztonsági másolatokból, vagy manuálisan kellett törölniük a rossz frissítési fájlt. A Microsoft kiadott egy indítható eszközt, amely segíthetett automatizálni a fájl törlésének folyamatát, de még mindig minden egyes érintett Windows telepítésen, legyen az virtuális gépen vagy fizikai rendszeren, kézzel kellett elvégezni a műveletet.
És nem minden CrowdStrike helyreállítási megoldás volt jól fogadott. A cég 10 dolláros UberEats promóciós kódokat küldött ki, hogy fedezze partnerei „következő csésze kávéját vagy késő esti snackjét,” ami némi szemforgatást váltott ki a közösségi oldalakon (a kód rövid ideig használhatatlan volt, mert az Uber csalásként jelölte meg, a CrowdStrike képviselője szerint). Összehasonlításképpen, az elemző cég, a Parametrix Insurance becslése szerint az üzemzavar költsége a Fortune 500 cégek számára valahol 5,4 milliárd dollár körül van.
Érdekesség: Az AI rendszerek gyakran képesek gyorsan azonosítani és kijavítani a szoftverhibákat, ami jelentősen csökkentheti a hasonló incidensek hatását a jövőben.
Források: CrowdStrike, Microsoft, Parametrix Insurance