شرح خلل كراود سترايك الذي تسبب في تعطل الملايين من أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز. تسببت شركة الأمن السيبراني كراود سترايك يوم الأربعاء الماضي بخلل في نظام المصادقة لديها إلى تعطل ملايين الأجهزة التي تعمل بنظام التشغيل ويندوز، وذلك ضمن انقطاع واسع النطاق أثر على المستخدمين في أواخر الأسبوع الماضي.
وأوضحت الشركة في تقريرها الأولي لما بعد الحادث (PIR) قائلة: “في يوم الجمعة الموافق 19 يوليو 2024، الساعة 04:09 بتوقيت عالمي منسق، قامت كراود سترايك، كجزء من العمليات التشغيلية المعتادة، بإصدار تحديث لإعداد محتوى خاص بمستشعر نظام التشغيل ويندوز لجمع بيانات القياس عن تقنيات التهديد الجديدة المحتملة”.
وأضافت: “تعد هذه التحديثات جزءًا منتظمًا من آليات الحماية الديناميكية لمنصة فالكون. إلا أن تحديث إعداد المحتوى سريع الاستجابة الذي يعد مصدر المشكلة قد تسبب في تعطل نظام التشغيل ويندوز”.
وأثر الحادث على أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز والمزودة بمستشعر الإصدار 7.11 وما فوق، والتي كانت متصلة بالإنترنت بين الساعة 04:09 و 05:27 بتوقيت عالمي منسق يوم الجمعة الموافق 19 يوليو 2024 وتلقت التحديث. لم تتأثر أنظمة أجهزة الكمبيوتر التي تعمل بأنظمة التشغيل Apple macOS و Linux.
أوضحت كراود سترايك أنها تقدم تحديثات إعداد محتوى الأمان بطريقتين.
الأولى عبر محتوى المستشعر الذي يتم شحنه مع مستشعر فالكون، والأخرى عبر محتوى الاستجابة السريعة الذي يسمح لها برصد التهديدات الجديدة باستخدام تقنيات مختلفة لمطابقة الأنماط السلوكية.
ويقال إن سبب التعطل هو تحديث لمحتوى الاستجابة السريعة يحتوي على خطأ لم يتم اكتشافه سابقًا. من الجدير بالذكر أن هذه التحديثات يتم تقديمها في شكل أمثلة للأنماط تتوافق مع سلوكيات محددة – يتم تعيينها لأنواع أنماط محددة – لتمكين القياس عن بعد والكشف عن التهديدات الجديدة.
يتم إنشاء أمثلة الأنماط بدورها باستخدام نظام تهيئة المحتوى. وبعد ذلك يتم نشرها على المستشعر عبر السحابة من خلال آلية تسمى ملفات القنوات. والتي يتم كتابتها في النهاية على القرص الصلب لجهاز الكمبيوتر الذي يعمل بنظام التشغيل ويندوز. يشتمل النظام أيضًا على مكون متحقق من المحتوى يقوم بإجراء عمليات التحقق على المحتوى قبل نشره.
وأوضحت الشركة: “يوفر محتوى الاستجابة السريعة الرؤية وعمليات الكشف على المستشعر دون الحاجة إلى إجراء تغييرات على كود المستشعر. يستخدم مهندسو اكتشاف التهديدات هذه الإمكانية لجمع بيانات القياس وتحديد مؤشرات سلوك الخصوم وتنفيذ عمليات الكشف والوقاية. محتوى الاستجابة السريعة عبارة عن تحليلات سلوكية منفصلة ومتميزة عن قدرات الوقاية والاكتشاف المعتمدة على الذكاء الاصطناعي على المستشعر التي توفرها كراود سترايك”.
ثم يتم تحليل هذه التحديثات بواسطة مترجم المحتوى الخاص بمستشعر فالكون. والذي يسهل بعد ذلك على محرك اكتشاف المستشعر اكتشاف النشاط الضار أو منعه.
وفي حين تم إجراء اختبارات تحمل لكل نوع جديد من الأنماط لمعايير مختلفة مثل استهلاك الموارد وتأثير الأداء. وفقًا لشركة كراود سترايك. يمكن إرجاع السبب الجذري للمشكلة إلى طرح نوع نمط الاتصال بين العمليات (IPC) في 28 فبراير 2024. والذي تم تقديمه لرصد الهجمات التي تستهدف الأنابيب المسماة. شرح خلل كراود سترايك
تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.