La scorsa settimana, un aggiornamento malriuscito di CrowdStrike ha causato il blocco brusco di milioni di dispositivi Windows. Il caos, che ha interessato circa 8,5 milioni di macchine, è derivato da un difetto nel software di test.
Questo aggiornamento difettoso in qualche modo è sfuggito ai soliti controlli, causando crash diffusi. In risposta, CrowdStrike ha promesso di intensificare i test e migliorare la gestione degli errori per i futuri aggiornamenti.
In particolare, questo fiasco non ha colpito solo CrowdStrike, ma ha anche innescato un’interruzione significativa per Microsoft, amplificando l’interruzione complessiva. I doppi fallimenti hanno sottolineato quanto fragili possano essere i servizi cloud e gli ecosistemi software quando le cose vanno male.
Oggi, la saga del problema CrowdStrike continua con il seguente post su X da parte dei funzionari, seguito da un post sul blog:
Aggiornamento: la nostra Post Incident Review (PIR) preliminare è disponibile al link sottostante. I dettagli includono la panoramica dell’incidente, le azioni di rimedio e gli apprendimenti preliminari. Ulteriori informazioni saranno disponibili nella nostra Root Cause Analysis (RCA) completa.
Tecniche di recupero automatizzate, abbinate a strategie…
— CrowdStrike (@CrowdStrike) 24 luglio 2024
Le radici del problema CrowdStrike
Il software Falcon di CrowdStrike, uno strumento essenziale per le aziende per proteggersi da malware e violazioni della sicurezza, era al centro del problema. Un aggiornamento di routine pensato per raccogliere dati di telemetria su potenziali minacce ha invece causato crash catastrofici. Il file problematico, un piccolo aggiornamento da 40 KB nel Rapid Response Content, è riuscito a eludere test approfonditi, portando a guasti a livello di sistema che ricordano i virus informatici della vecchia scuola.
Il nucleo del Problema CrowdStrike era legato all’aggiornamento Rapid Response Content, che mirava a migliorare il rilevamento del malware aggiornando il sensore Falcon.
Questo particolare aggiornamento conteneva dati difettosi che hanno bypassato il Content Verifier a causa di un bug. In genere, gli aggiornamenti di CrowdStrike vengono sottoposti a test sia automatici che manuali.
Tuttavia, questo aggiornamento non è stato sottoposto agli stessi rigorosi test oppure è stato inspiegabilmente superato, causando crash di sistema diffusi.
La radice del problema era una fiducia mal riposta nell’affidabilità del loro Content Validator. A marzo, una nuova distribuzione ha portato CrowdStrike a credere che il loro processo di convalida fosse infallibile.
Questa ipotesi si è rivelata disastrosamente sbagliata. L’aggiornamento difettoso ha innescato un’eccezione di memoria fuori dai limiti nel Content Interpreter del sensore, causando il crash delle macchine Windows con la temuta Blue Screen of Death (BSOD).
IL Problema CrowdStrike è scoppiata di venerdì, proprio mentre le aziende si stavano avviando alla chiusura per il weekend. Il tempismo non avrebbe potuto essere peggiore, portando a interruzioni immediate in numerose organizzazioni.
L’aggiornamento difettoso, concepito per aumentare la sicurezza, ha invece paralizzato i sistemi, causando notevoli tempi di inattività e frustrazione.
Come è iniziata l’interruzione di Microsoft?
L’interruzione di Microsoft è stata notevolmente influenzata da un aggiornamento buggato di CrowdStrike. Questo incidente ha evidenziato la vulnerabilità dei servizi cloud e il modo in cui i sistemi interdipendenti possono amplificare le interruzioni.
La causa esatta del Interruzione di Microsoft era diverso, ma si è verificato contemporaneamente al problema CrowdStrike, sottolineando l’impatto più ampio sulle infrastrutture tecnologiche.
Cos’è l’interruzione di CrowdStrike?
IL Interruzione di CrowdStrike è stata una grave interruzione causata da un aggiornamento difettoso nel software Falcon di CrowdStrike. Questo aggiornamento, destinato a raccogliere dati di telemetria su potenziali minacce, ha invece portato a crash diffusi di circa 8,5 milioni di dispositivi Windows.
L’incidente è stato ricondotto a un difetto nell’aggiornamento Rapid Response Content, che è riuscito a superare il processo di convalida.
Quando è iniziata l’interruzione di CrowdStrike?
L’interruzione di CrowdStrike è iniziata di venerdì, un momento particolarmente inopportuno poiché le attività commerciali erano in chiusura per il fine settimana.
Questa tempistica ha aggravato l’impatto, provocando interruzioni immediate in numerose organizzazioni e determinando notevoli tempi di inattività e frustrazione.
Che cos’è CrowdStrike Falcon?
CrowdStrike Falcon è una piattaforma basata su cloud che fornisce protezione degli endpoint per le aziende. Combina antivirus, intelligence sulle minacce e rilevamento e risposta degli endpoint (EDR) per proteggere da malware e violazioni della sicurezza.
Falcon opera distribuendo sensori a livello kernel nelle macchine Windows, monitorando costantemente attività sospette e utilizzando l’apprendimento automatico per migliorare le capacità di rilevamento. Gli aggiornamenti frequenti del software, come Rapid Response Content, sono fondamentali per mantenere la protezione contro le minacce emergenti.
In seguito
In risposta a questo fiasco del problema CrowdStrike, l’azienda ha promesso diverse misure per impedire che un simile disastro si ripeta. Tra queste:
- Test avanzati: Implementazione di test per sviluppatori locali, test di aggiornamento e rollback dei contenuti, test di stress, fuzzing e inserimento di errori.
- Miglioramento della gestione degli errori: Miglioramento delle capacità di gestione degli errori del Content Interpreter nel sensore Falcon.
- Distribuzione scaglionata: Distribuire gradualmente gli aggiornamenti a porzioni più ampie della base installata anziché distribuirli tutti in una volta.
CrowdStrike Falcon, il software al centro di questo problema, è una piattaforma basata su cloud che fornisce protezione degli endpoint. Combina antivirus, intelligence sulle minacce e rilevamento e risposta degli endpoint (EDR) per proteggere da malware e violazioni della sicurezza, rendendolo fondamentale per le aziende in tutto il mondo.
Falcon opera distribuendo sensori a livello kernel nelle macchine Windows. Questi sensori monitorano costantemente le attività sospette e utilizzano l’apprendimento automatico per migliorare le capacità di rilevamento. Aggiornamenti come Rapid Response Content sono fondamentali per mantenere la protezione contro le nuove minacce. Tuttavia, il recente incidente ha mostrato i rischi quando questi aggiornamenti non vengono esaminati attentamente.
Credito per l’immagine in evidenza: Sciopero della folla
