CrowdStrike CEO'su George Kurtz Perşembe günü yaptığı açıklamada, Falcon sensör yazılımını çalıştıran tüm Windows sistemlerinin yüzde 97'sinin, kurumsal güvenlik yazılımındaki güncellemeyle ilgili bir kesintinin uçuşları geciktirmesi ve acil müdahale sistemlerini çökertmesinden bir hafta sonra tekrar çevrimiçi olduğunu söyledi.
Windows bilgisayarların korkunç Mavi Ekranı'nı vermesine ve yeniden başlatılmasına neden olan güncelleme, Microsoft'un hesabına göre yaklaşık 8,5 milyon sistemi etkiledi ve geriye hala çevrimiçi hale getirilmesi gereken yaklaşık 250.000 sistem kaldı.
Microsoft Başkan Yardımcısı John Cable bir blog yazısında şirketin CrowdStrike'ın güncellemesinin yarattığı karmaşayı temizlemeye yardımcı olmak için "7 gün 24 saat çalışan 5.000'den fazla destek mühendisini görevlendirdiğini" söyledi ve düzenleyicilerle ters düşmezlerse yardımcı olabilecek Windows değişikliklerini ima etti.
Cable, "Bu olay, Windows'un uçtan uca esneklik alanında değişim ve yeniliğe öncelik vermesi gerektiğini açıkça gösteriyor," diye yazdı. "Bu iyileştirmeler, güvenlik alanında devam eden iyileştirmelerle el ele gitmeli ve Windows ekosisteminin güvenliğini derinden önemseyen birçok iş ortağımızla yakın işbirliği içinde olmalıdır."
Cable, Windows tabanlı güvenlik ürünlerinin çoğunun (CrowdStrike'ın Falcon algılayıcısı dahil) şu anda yaptığı gibi çekirdek düzeyinde erişim gerektirmeden Windows'u güvende tutabilecek ürünlere örnek olarak VBS enclaves ve Azure Attestation'ı gösterdi. Ancak Microsoft'un "platformumuzu güçlendirmeye ve geniş güvenlik topluluğuyla açık ve işbirliği içinde çalışarak Windows ekosisteminin dayanıklılığını artırmak için daha da fazlasını yapmaya" devam edeceğini söyleyerek Windows'ta ne gibi özel değişiklikler yapılabileceğini özetlemekten kaçındı.
Kullanıcı modu yerine çekirdek modunda çalışırken, güvenlik yazılımı bir sistemin donanım ve yazılımına tam erişime sahiptir, bu da onu daha güçlü ve esnek hale getirir; bu aynı zamanda CrowdStrike'ınki gibi kötü bir güncellemenin çok daha fazla soruna neden olabileceği anlamına gelir.
MacOS'un son sürümleri tam da bu nedenle üçüncü taraf çekirdek uzantılarını kullanımdan kaldırmıştır; bu da Mac'lerin CrowdStrike güncellemesi tarafından neden çökertilmediğinin bir açıklamasıdır. Ancak Microsoft'un üçüncü taraf güvenlik şirketlerini Windows çekirdeğinin dışında tutmaya yönelik geçmişteki çabaları (en son Windows Vista döneminde) Avrupa Komisyonu düzenleyicilerinin tepkisiyle karşılaştı. Microsoft'un Windows'un pazardaki konumunu kendi ürün ve hizmetlerini öne çıkarmak için kullanma konusundaki geçmiş (ve devam eden) sicili göz önüne alındığında, bu şüphecilik düzeyi haklıdır. Günümüzde üçüncü taraf satıcıların Windows çekirdeğine erişimini kısıtlamaya yönelik herhangi bir girişimin de benzer bir incelemeye tabi tutulması muhtemeldir.
Microsoft'un da son zamanlarda uğraşması gereken pek çok güvenlik sorunu vardı, öyle ki güvenliği daha fazla odak noktası haline getirmek için şirketi yeniden yapılandırma sözü verdi.
CrowdStrike'ın Sonrası
CrowdStrike, kesintinin ardından güncellemelerin daha kapsamlı bir şekilde test edilmesi ve kötü bir güncelleme dosyasının geçen haftaki kadar büyük bir soruna yol açmasını önleyebilecek aşamalı bir dağıtım sistemi de dahil olmak üzere kendi sözlerini verdi. Şirketin ilk olay raporu, sorunun nedeni olarak test prosedürlerindeki bir hataya işaret ediyordu.
Bu arada kurtarma çalışmaları devam ediyor. Bazı sistemler sadece yeniden başlatılarak düzeltilebildi, ancak bunu 15 kez yapmak zorunda kaldılar — bu, sistemlere çökmeden önce yeni bir güncelleme dosyası alma şansı verebilir. Geri kalanlar içinse BT yöneticilerine ya yedeklerden geri yükleme yapmak ya da hatalı güncelleme dosyasını manuel olarak silmek kalıyordu. Microsoft, bu dosyayı silme işlemini otomatikleştirmeye yardımcı olabilecek önyüklenebilir bir araç yayınladı, ancak yine de ister sanal bir makinede ister fiziksel bir sistemde olsun, etkilenen her bir Windows yüklemesine el koymak gerekiyordu.
CrowdStrike'ın tüm iyileştirme çözümleri de iyi karşılanmadı. Şirket, bazı ortaklarının "bir sonraki kahve ya da gece atıştırması" için 10 dolarlık UberEats promosyon kodları gönderdi ve bu da sosyal medya sitelerinde alay konusu oldu (bir CrowdStrike temsilcisine göre Uber bunu sahte olarak işaretlediği için kod kısa bir süre kullanılamadı). Bu bağlamda, analiz şirketi Parametrix Insurance, kesintinin Fortune 500 şirketlerine maliyetinin 5.4 milyar dolar civarında olduğunu tahmin ediyor.