Загальний вигляд з аеропорту Дюссельдорфа, коли пасажири збираються та чекають через глобальний збій зв’язку, спричинений CrowdStrike, який надає послуги кібербезпеки американській технологічній компанії Microsoft, 19 липня 2024 року в Дюссельдорфі, Німеччина.
Хесам Ельсеріф | Анадолу | Getty Images
кажуть експерти з безпеки CrowdStrike’s Звичайне оновлення широко використовуваного програмного забезпечення для кібербезпеки, яке призвело до збою комп’ютерних систем клієнтів по всьому світу в п’ятницю, очевидно, не пройшло адекватних перевірок якості перед його розгортанням.
Остання версія програмного забезпечення Falcon Sensor була призначена для того, щоб зробити системи клієнтів CrowdStrike більш безпечними від злому шляхом оновлення загроз, від яких воно захищає. Однак помилковий код у файлах оновлення призвів до одного з найпоширеніших технологічних збоїв за останні роки для компаній, які використовують компанії Microsoft операційна система Windows.
Глобальні банки, авіакомпанії, лікарні та державні установи були зруйновані. CrowdStrike оприлюднив інформацію, щоб виправити уражені системи, але експерти сказали, що повернення їх онлайн займе час, оскільки це вимагає ручного видалення несправного коду.
«Те, що виглядає так, можливо, аудит або пісочниця, які вони роблять, коли вони дивляться на код, можливо, якимось чином цей файл не був включений у нього або втік», — сказав Стів Кобб, головний спеціаліст із безпеки в Security Scorecard, який також деякі системи постраждали від проблеми.
Проблеми з’явилися відразу після випуску оновлення в п’ятницю, і користувачі розмістили в соціальних мережах фотографії комп’ютерів із синіми екранами, на яких відображаються повідомлення про помилки. Вони відомі в галузі як «сині екрани смерті».
Патрік Вордл, дослідник безпеки, який спеціалізується на вивченні загроз операційної системи, сказав, що його аналіз визначив код, відповідальний за збій.
За його словами, проблема з оновленням була «у файлі, який містить інформацію про конфігурацію або підписи». Такі сигнатури є кодом, який виявляє певні типи шкідливого коду або зловмисного програмного забезпечення.
«Продукти безпеки дуже часто оновлюють свої сигнатури, наприклад, раз на день… тому що вони постійно відстежують наявність нових зловмисних програм і тому, що хочуть переконатися, що їхні клієнти захищені від останніх загроз», — сказав він.
Частота оновлень, “ймовірно, є причиною того, що (CrowdStrike) не так часто тестував”, – сказав він.
Незрозуміло, як цей помилковий код потрапив в оновлення і чому його не було виявлено до того, як було опубліковано клієнтам.
«В ідеалі це спочатку було б розгорнуто в обмеженому пулі», — сказав Джон Хаммонд, головний дослідник безпеки в Huntress Labs. «Це безпечніший підхід, щоб уникнути такого великого безладу».
Інші охоронні компанії мали подібні випадки в минулому. Оновлення антивіруса McAfee 2010 року пошкодило сотні тисяч комп’ютерів.
Але глобальний вплив цього збою відображає домінування CrowdStrike. Більше половини компаній зі списку Fortune 500 і багато державних установ, включаючи головне агентство з кібербезпеки США, Агентство з кібербезпеки та безпеки інфраструктури, використовують програмне забезпечення компанії.
