CrowdStrike เผยผลตรวจสอบเบื้องต้นเหตุทำ Windows ล่มทั่วโลก

CrowdStrike ออก Preliminary Post Incident Review (PIR) เพื่ออธิบายว่าเกิดอะไรขึ้น  โดยเบื้องต้น CrowdStrike อธิบายว่า การอัพเดทผลิตภัณฑ์ Falcon Sensor มีด้วยกัน 2 ประเภท  ประเภทแรก คือ  Sensor Content ซึ่งเป็นโค้ดที่เขียนขึ้นมาโดยเฉพาะที่ได้รับการปรับแต่งให้ทำงานได้เร็ว และสามารถนำกลับมาใช้ได้ในหลายๆ ที่ ในระยะยาว รวมทั้งส่วนที่เป็น AI และ Machine Learning Model ซึ่งเซนเซอร์เหล่านี้จะไม่ได้รับการอัพเดทจาก Cloud โดยอัตโนมัติ แต่จะเป็นการออกเวอร์ชั่นใหม่ตามรอบของการออกผลิตภัณฑ์

และประเภทหลัง คือ Rapid Response Content ซึ่งเป็นการตอบสนองต่อภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว โดยอาศัยความเร็วในการดำเนินการ Rapid Response Content เป็นข้อมูลจับคู่รูปแบบ (pattern matching) พฤติกรรมต่างๆ บนเซ็นเซอร์โดยใช้เอ็นจินที่ได้รับการปรับไปตามค่าที่ระบุไว้ในไฟล์ไบนารีเฉพาะซึ่งประกอบด้วยข้อมูลการกำหนดค่า ไม่ใช่โค้ดหรือไดรเวอร์เคอร์เนลแต่อย่างใด

ซึ่งตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา ทาง CrowdStrike ได้ออก sensor version 7.11 เพิ่ม template ประเภทใหม่ที่ชื่อ IPC Template Type เพื่อเพิ่มความสามารถในการตรวจจับพฤติกรรมผิดปกติผ่านที่เกี่ยวข้องกับ named pipe และได้มีการทดสอบภายในอย่างเข้มข้นในเดือนมีนาคมว่าสามารถทำงานได้ตามปกติ และไม่มีปัญหา

แต่ในวันที่ 19 กรกฎาคม ทางทีมได้ออก Rapid Response Content ใหม่ที่มี Template ประเภท IPC ใหม่ 2 รายการ ซึ่งบังเอิญว่าหนึ่งในนั้นมีข้อผิดพลาด แต่ระบบตรวจสอบข้อมูล (Content Validator) กลับตรวจไม่พบความผิดพลาดดังกล่าว จึงทำให้เมื่อ Engine ทำงานตาม Template ที่ผิดพลาดนี้ก็จะทำให้เกิดการเข้าถึงหน่วยความจำนอกขอบเขต (out of bound memory access) ขึ้น ส่งผลทำให้เกิดความผิดพลาดในการทำงาน และทำให้เกิดจอฟ้าอย่างที่เกิดขึ้น

ทั้งนี้ทีมงานจะแก้ไขกระบวนการทดสอบให้ดีขึ้น และแก้ระบบตรวจสอบข้อมูลให้ทำงานให้ถูกต้องตามที่ออกแบบไว้ รวมไปถึงการอัพเดทแบบค่อยเป็นค่อยไป และเพิ่มจุดปรับแต่งให้ลูกค้าสามารถควบคุมความเร็วในการอัพเดทได้ดีขึ้น

ที่มา : Crowdstrike Blog