CrowdStrike explique pourquoi une mauvaise mise à jour de Microsoft Windows affectant des millions de personnes n'a pas été correctement testée
Mercredi, CrowdStrike a divulgué les résultats de son examen préliminaire post-incident, mettant en lumière pourquoi une récente mise à jour de Microsoft Windows qui a provoqué des perturbations généralisées n'a pas été détectée lors des tests internes. Cet incident, qui a touché des millions de personnes dans le monde, a mis en évidence des failles critiques dans le processus de validation des mises à jour.
CrowdStrike, l'une des principales sociétés de cybersécurité, fournit deux types distincts de mises à jour de configuration de contenu de sécurité à son agent Falcon : le contenu des capteurs et le contenu de réponse rapide. Les mises à jour du contenu des capteurs offrent des capacités complètes de réponse aux adversaires et de détection des menaces à long terme. Ces mises à jour ne sont pas récupérées dynamiquement depuis le cloud et sont soumises à des tests approfondis, permettant aux clients de contrôler le déploiement sur l'ensemble de leurs flottes.
En revanche, le contenu à réponse rapide se compose de fichiers binaires propriétaires contenant des données de configuration pour améliorer la visibilité et la détection des appareils sans modifier le code. Ce contenu est validé par un composant conçu pour garantir son intégrité avant diffusion. Cependant, la mise à jour publiée le 19 juillet, visant à remédier aux nouvelles techniques d'attaque exploitant les canaux nommés, a révélé une faille critique.
Le validateur, utilisé depuis mars, contenait un bug qui permettait à la mise à jour défectueuse de passer la validation. En raison de l'absence de tests supplémentaires, la mise à jour a été déployée, ce qui a entraîné une boucle d'écran bleu de la mort (BSOD) sur environ 8,5 millions d'appareils Windows . Ce crash provenait d'une lecture de mémoire hors limites provoquant une exception non gérée. Bien que le composant interpréteur de contenu de CrowdStrike soit conçu pour gérer de telles exceptions, ce problème particulier n'a pas été correctement résolu.
En réponse à cet incident, CrowdStrike s'engage à améliorer les protocoles de test pour le contenu à réponse rapide. Les améliorations prévues incluent des tests de développement local, des tests complets de mise à jour et de restauration, des tests de stress, du fuzzing, des tests de stabilité et des tests d'interface. Le validateur de contenu recevra des contrôles supplémentaires et les processus de gestion des erreurs seront renforcés. De plus, une stratégie de déploiement échelonné pour un contenu à réponse rapide sera mise en œuvre, offrant ainsi aux clients un meilleur contrôle sur ces mises à jour.
Lundi, CrowdStrike a annoncé un plan de remédiation accéléré pour les systèmes affectés par la mise à jour défectueuse, avec des progrès significatifs déjà réalisés dans la restauration des appareils concernés. Cet incident, considéré comme l'une des pannes informatiques les plus graves de l'histoire, a entraîné des perturbations majeures dans divers secteurs, notamment l'aviation, la finance, la santé et l'éducation.
Par la suite, les dirigeants de la Chambre des représentants des États-Unis ont exhorté le PDG de CrowdStrike, George Kurtz, à témoigner devant le Congrès concernant l'implication de l'entreprise dans cette panne généralisée. Entre-temps, les organisations et les utilisateurs ont été alertés d’une augmentation des tentatives de phishing, d’escroqueries et de logiciels malveillants exploitant cet incident.
Cet événement souligne la nécessité cruciale de processus de test et de validation robustes en matière de cybersécurité pour éviter de telles perturbations généralisées à l'avenir.