شرکت CrowdStrike گزارش «بررسی پس از حادثه» (PIR) خود از آپدیت معیوب چند روز پیش را که 8.5 میلیون دستگاه ویندوزی را از کار انداخته بود، منتشر کرد. این شرکت در این بررسی مفصل، یک باگ در مکانیسم نرمافزار کنترل کیفیت خود را مسئول این اختلال گسترده میداند. CrowdStrike وعده داده است که بهروزرسانیهای آینده را دقیقتر تست کند و مدیریت خطا را بهبود ببخشد.
CrowdStrike در PIR خود به بررسی باگ آپدیت اخیر پرداخته است. این شرکت میگوید که بهروزرسانیهای مخصوص پیکربندی را به دو روش مختلف صادر میکند. اولی «محتوای سنسور» (Sensor Content) نام دارد که مستقیماً سنسور نرمافزار فالکون این شرکت را که در ویندوز اجرا میشود، بهروزرسانی میکند؛ دومی نیز «محتوای واکنش سریع» (Rapid Response Content) است که نحوه عملکرد سنسور برای شناسایی بدافزارها را بهروزرسانی میکند. در نهایت یک فایل محتوای واکنش سریع 40 کیلوبایتی در روز جمعه باعث بروز مشکل شد.
بهروزرسانی محتواهای سنسور فالکون معمولاً از طریق هوش مصنوعی و مدلهای یادگیری ماشینی بهبود مییابند و از سمت سرورهای ابری شرکت، آپدیتی به آنها فرستاده نمیشود. بااینحال، CrowdStrike در سرورهای ابری خود، بررسیهای مربوط به اعتبارسنجی محتوا را قبل از انتشار انجام میدهد تا از وقوع حوادثی مانند جمعه جلوگیری کند.
CrowdStrike هفته گذشته دو بهروزرسانی محتوای واکنش سریع موسوم به «Template Instances» منتشر کرد. این شرکت میگوید:
«به دلیل وجود باگ در سیستم اعتبارسنجی محتوا، یکی از دو Template Instances بهرغم اینکه حاوی دادههای محتوای مشکلساز بود، اعتبارسنجی را پشت سر گذاشت.»
CrowdStrike نگفته است که آن دادههای محتوایی دقیقاً چه بودند و همچنین دلیل مشکلسازبودن آن چیست. این شرکت اگرچه تست خودکار و دستی روی محتوای سنسور انجام میدهد، اما به نظر میرسد در محتوای واکنش سریع که در روز جمعه ارائه شد، تست کاملی انجام نداده است.
برای جلوگیری از تکرار این اتفاق، CrowdStrike وعده داده است که تست محتوای واکنش سریع خود را بهبود ببخشد. این شرکت همچنین درحال بهروزرسانی سیستم اعتبارسنج Content Validator مبتنی بر فضای ابری خود برای بررسی بهتر آپدیتهای محتوای واکنش سریع است.
