تجزیه و تحلیل جامع از خرابی اخیر ویندوز توسط CrowdStrike

تجزیه و تحلیل جامع از خرابی اخیر ویندوز توسط CrowdStrike

در ژوئن ۲۰۲۴، شرکت امنیت سایبری CrowdStrike با یک خرابی بزرگ در سیستم‌های ویندوز روبرو شد که بیش از ۸.۵ میلیون دستگاه را تحت تأثیر قرار داد. این مشکل به دلیل یک به‌روزرسانی نادرست نرم‌افزار بود که باعث شد دستگاه‌های بسیاری دچار ناپایداری و خرابی شوند.

جزئیات خرابی

این خرابی ناشی از یک مشکل در محصول Falcon Sensor شرکت CrowdStrike بود. Falcon Sensor یک عامل سبک وزن است که بر روی هر دستگاه انتهایی نصب می‌شود و می‌تواند با استفاده از یک توکن ویژه حفاظت از حذف را فعال کند. با این حال، محققان امنیتی از شرکت Modzero دریافتند که یک مهاجم با دسترسی مدیر سیستم می‌تواند از این توکن عبور کرده و حسگر را حذف کند، این مسئله می‌تواند باعث حذف حفاظت ارائه شده توسط CrowdStrike شود

(NBR | The Authority since 1970)​​ (CrowdStrike)

​عوامل خرابی

1. مشکلات نرم‌افزاری و به‌روزرسانی‌ها:

   • به‌روزرسانی نادرست نرم‌افزار باعث ایجاد ناپایداری سیستم و نمایش صفحه آبی مرگ (BSOD) شد.
   • Microsoft تأیید کرده است که خرابی ناشی از مشکلات در نصب‌کننده مایکروسافت (MSI) بود که در شرایط خاصی امکان حذف حسگر بدون توکن معتبر را فراهم می‌کرد.

2. مشکلات امنیتی:

   • مهاجمان می‌توانند با دسترسی مدیر سیستم، حسگر Falcon را بدون توکن معتبر حذف کنند. این ضعف امنیتی نیازمند دسترسی بالای مدیر است که ریسک آن را محدود می‌کند، اما همچنان یک مشکل جدی محسوب می‌شود.

پاسخ و اقدامات اصلاحی

CrowdStrike پس از شناسایی مشکل، به سرعت یک هشدار فنی منتشر کرد و به مشتریان خود توصیه‌هایی برای جلوگیری از بهره‌برداری از این مشکل ارائه داد. این شرکت همچنین با همکاری مایکروسافت در تلاش است تا مشکلات مربوط به MSI را برطرف کند.

نتیجه‌گیری

این حادثه بزرگترین خرابی IT در تاریخ شناخته شده است و نشان‌دهنده اهمیت به‌روزرسانی‌ها و تست‌های دقیق امنیتی در نرم‌افزارهای امنیت سایبری است. برای کسب اطلاعات بیشتر می‌توانید به NBR و CrowdStrike مراجعه کنید.

با انتشار این گزارش و شفاف‌سازی‌های انجام شده، امید است که چنین مشکلاتی در آینده به حداقل برسد و شرکت‌ها بتوانند از سیستم‌های خود در برابر تهدیدات محافظت کنند.