Эксперты по безопасности заявили, что рутинное обновление CrowdStrike своего широко используемого программного обеспечения для кибербезопасности, которое привело к глобальному сбою компьютерных систем клиентов в пятницу, по-видимому, не прошло надлежащей проверки качества перед развертыванием.
Последняя версия программного обеспечения Falcon sensor должна была повысить защищенность систем клиентов CrowdStrike от взлома за счет обновления угроз, от которых оно защищено. Но ошибочный код в файлах обновления привел к одному из самых распространенных технических сбоев за последние годы в компаниях, использующих операционную систему Microsoft Windows.
Работа глобальных банков, авиакомпаний, больниц и правительственных учреждений была нарушена. CrowdStrike опубликовала информацию о том, как исправить уязвимые системы, но эксперты заявили, что для их восстановления потребуется время, поскольку для этого потребуется вручную устранить дефектный код.
"Возможно, это проверка или "песочница", которую они проводят при просмотре кода, и, возможно, каким-то образом этот файл не был включен в код или пропущен", - сказал Стив Кобб, директор по безопасности в Security Scorecard, на некоторые системы которой также повлияла проблема.
Проблемы быстро выявились после того, как в пятницу было выпущено обновление, и пользователи разместили в социальных сетях фотографии компьютеров с синими экранами, на которых отображаются сообщения об ошибках. В отрасли они известны как "синие экраны смерти".
Патрик Уордл, исследователь в области безопасности, специализирующийся на изучении угроз для операционных систем, сказал, что его анализ выявил код, ответственный за сбой.
Проблема с обновлением заключалась "в файле, который содержит либо информацию о конфигурации, либо сигнатуры", - сказал он. Такие сигнатуры представляют собой код, который обнаруживает определенные типы вредоносных программ.
"Очень часто продукты безопасности обновляют свои сигнатуры примерно раз в день ... потому что они постоянно отслеживают появление новых вредоносных программ и хотят быть уверенными, что их клиенты защищены от новейших угроз", - сказал он.
Частота обновлений "вероятно, является причиной того, что (CrowdStrike) не тестировала его так часто", - сказал он.
Неясно, как этот ошибочный код попал в обновление и почему он не был обнаружен до того, как был выпущен клиентам.
"В идеале, сначала это должно было быть распространено на ограниченный круг пользователей", - сказал Джон Хаммонд, главный исследователь в области безопасности в Huntress Labs. "Это более безопасный подход, позволяющий избежать подобных проблем".
В прошлом у других охранных компаний были подобные случаи. Из-за сбоя в обновлении антивируса McAfee в 2010 году сотни тысяч компьютеров были отключены.
Но глобальные последствия этого сбоя отражают доминирующее положение CrowdStrike. Более половины компаний из списка Fortune 500 и многие государственные органы, такие как ведущее американское агентство по кибербезопасности, Агентство по кибербезопасности и инфраструктурной безопасности, используют программное обеспечение компании.
(За исключением заголовка, эта история не редактировалась сотрудниками NDTV и опубликована на синдицированном канале.)