CrowdStrike bugün, 19 Temmuz’da 8,5 milyon Windows bilgisayarını çökerten hatalı yazılım güncellemesinin Kök Neden Analizini (RCA) yayınladı ve ayrıca yıkıcı kesintinin ardından yapacağı değişiklikleri özetledi.
12 sayfalık CrowdStrike Kök Neden Analizi raporu, CrowdStrike müşterileri için büyük ölçüde karşılanmamış 15 milyar dolarlık kayba yol açabilecek olan büyük küresel kesintiden beş gün sonra yayınlanan CrowdStrike’ın Ön Olay Sonrası İncelemesi’nden (PIR) daha derin bir açıklama sunuyor. Kesinti, hissedar ve müşteri yasal işlemlerine yol açtı ve CrowdStrike ile Delta Airlines arasında, havayolunun kesintiden uzun süren toparlanması konusunda tehditler ve karşı tehditler yaşandı; bu durum, Microsoft’un da tartışmaya katılmasıyla bugün bir başka hal aldı.
CrowdStrike Kök Neden Analizi Ayrıntıları Ek Giriş Parametre Alanı
Kök neden raporundaki ilginç yeni bir açıklama, hatanın ilk nedeninin Şubat ayında CrowdStrike’ın Windows işlem içi iletişim (IPC) mekanizmaları için yeni bir Şablon Türü içeren sensör sürümü 7.11’i yayınladığında ortaya çıkmış olmasıdır. IPC Şablon Örnekleri, 291 numaralı karşılık gelen bir Kanal Dosyası aracılığıyla sensörlere Hızlı Yanıt İçeriği olarak iletilir.
Yeni IPC Şablon Türü 21 giriş parametresi alanı tanımladı, ancak Kanal Dosyası 291’in Şablon Örnekleriyle İçerik Yorumlayıcısını çağıran entegrasyon kodu, eşleşmek için yalnızca 20 giriş değeri sağladı. CrowdStrike, parametre sayısı uyumsuzluğunun “birden fazla yapı doğrulama ve test katmanından kaçtığını” söyledi, bunun nedeni kısmen test sırasında ve ilk IPC Şablon Örneklerinde 21. girdi için joker karakter eşleştirme ölçütlerinin kullanılmasıydı.
19 Temmuz’da iki ek IPC Şablon Örneği dağıtıldı; bunlardan biri 21. giriş parametresi için joker karakter olmayan bir eşleştirme ölçütü getirdi.
CrowdStrike, “Bu yeni Şablon Örnekleri, sensörün artık 21. giriş parametresini incelemesini gerektirecek olan Kanal Dosyası 291’in yeni bir sürümüyle sonuçlandı,” dedi. “Bu kanal dosyası sensörlere teslim edilene kadar, önceki kanal sürümlerindeki hiçbir IPC Şablon Örneği 21. giriş parametresi alanını kullanmamıştı. İçerik Doğrulayıcı yeni Şablon Örneklerini değerlendirdi, ancak değerlendirmesini IPC Şablon Türüne 21 giriş sağlanacağı beklentisine dayandırdı.
“Sorunlu içeriği taşıyan Kanal Dosyası 291’in yeni sürümünü alan sensörler, İçerik Yorumlayıcısında gizli bir sınır dışı okuma sorununa maruz kaldı. İşletim sisteminden gelen bir sonraki IPC bildiriminde, yeni IPC Şablon Örnekleri değerlendirildi ve 21. giriş değerine göre bir karşılaştırma belirtildi. İçerik Yorumlayıcısı yalnızca 20 değer bekliyordu. Bu nedenle, 21. değere erişme girişimi, giriş veri dizisinin sonunun ötesinde sınır dışı bir bellek okuması üretti ve sistem çökmesine neden oldu.”
CrowdStrike, küresel kesintinin ardından yarım düzine değişiklik sözü verdi:
- Sensör derleme zamanında Şablon Türündeki giriş alanlarının sayısının doğrulanması
- Kanal Dosyası 291’deki İçerik Yorumlayıcı giriş alanları için eksik olan bir çalışma zamanı dizi sınırları denetimi için düzeltme
- Daha geniş çeşitlilikte eşleştirme kriterlerini kapsayan Şablon Türü testi
- Şablon Örneği doğrulaması, İçerik Yorumlayıcısı içindeki testleri içerecek şekilde genişliyor
- Şablon örnekleri için aşamalı dağıtım, dağıtım üzerinde müşteri denetimi dahil
Windows Çekirdek Sürücüsü Kullanımı Ele Alındı
CrowdStrike ayrıca, bu yetenekler geliştikçe çekirdek sürücü işlevlerini daha az hassas kullanıcı alanına taşıdığını da belirtti.
Şirket, “Windows’un yeni sürümleri kullanıcı alanında bu güvenlik işlevlerinden daha fazlasını gerçekleştirmek için destek sunarken, CrowdStrike bu desteği kullanmak için aracısını güncelliyor,” dedi. “Windows ekosisteminin, en azından bazı işlevleri için çekirdek sürücüsüne dayanmayan sağlam bir güvenlik ürününü desteklemesi için önemli çalışmalar devam ediyor. Windows kullanıcı alanında güvenlik ürünü ihtiyaçları için daha fazla destek eklemeye devam ederken, Microsoft ile sürekli olarak doğrudan çalışmaya kararlıyız.”
Microsoft Delta Savaşına Girerken Kurtz Özür Diledi
CrowdStrike ayrıca raporun yayınlanmasıyla birlikte kesinti giderme sayfasına ilişkin CEO ve kurucu George Kurtz’un bir açıklamasını yayınladı.
Kurtz’un açıklamasında, “Bunun sizin üzerinizdeki etkisinden dolayı derinden üzgünüz” denildi. “Güveninizi ve inancınızı yeniden kazanmaktan daha önemli hiçbir şey yoktur. Kuruluşumuzdan bu yana, müşteri korumasını her zaman ön planda tuttuk. Bu bizim Kuzey Yıldızımız oldu ve her gün odak noktamız olmaya devam ediyor.”
Ancak olay şirketin tamamen gündeminden düşmeden önce uzun bir hukuk mücadelesi yaşanabilir.
Microsoft bugün tartışmaya dahil oldu ve Delta’nın rakiplerinden daha uzun süren kesintisinin Microsoft dışı sistemlerden kaynaklandığı anlaşıldı. “Aslında, Delta’nın Microsoft’un yardımını reddetmesinin nedeninin, en çok geri yüklemede sorun yaşadığı BT sistemleri – mürettebat izleme ve planlama sistemi – IBM gibi diğer teknoloji sağlayıcıları tarafından servis ediliyordu çünkü bu sağlayıcıların sistemlerinde çalışıyor ve Microsoft Windows veya Azure’da çalışmıyordu,” diye yazdı avukat Mark Cheffo Microsoft adına Delta’nın avukatlarına.
Cheffo, “Microsoft, CrowdStrike olayının etkisi konusunda Delta ve müşterileriyle empati kuruyor. Ancak mektubunuz ve Delta’nın kamuoyuna açık yorumları eksik, yanlış, yanıltıcı ve Microsoft ve itibarına zarar verici,” dedi ve şirketin “Delta bu yolu izlemeyi seçerse herhangi bir davada kendini şiddetle savunacağını” belirtti.