يقوم Microsoft Windows بتشغيل أكثر من مليار جهاز كمبيوتر شخصي وملايين الخوادم في جميع أنحاء العالم، ويلعب العديد منها أدوارًا رئيسية في عمليات التثبيت التي تخدم العملاء بشكل مباشر. فماذا يحدث عندما يقدم بائع برامج موثوق به تحديثًا يؤدي إلى إيقاف تشغيل أجهزة الكمبيوتر هذه على الفور؟
منذ 19 يوليو/تموز 2024، عرفنا الإجابة على هذا السؤال: الفوضى بدأت في الظهور.
في هذه الحالة، فإن مطور البرامج الموثوق به هو شركة تدعى CrowdStrike Holdings، والتي كانت سمعتها السابقة هي شركة الأمن التي قامت بتحليل اختراق الخوادم التابعة للجنة الوطنية الديمقراطية في عام 2016. ولم تعد هذه مجرد ذكرى عفا عليها الزمن الآن، ستُعرف الشركة إلى الأبد باسم الشركة التي تسببت أكبر انقطاع للكمبيوتر في التاريخفقد أوقفت الطائرات، وقطعت الوصول إلى بعض الأنظمة المصرفية، وعطلت الشبكات الصحية الرئيسية، وأخرجت قناة إخبارية واحدة على الأقل من الخدمة.
أيضا: أفضل خدمات VPN: تم اختبارها وتقييمها من قبل الخبراء
تقديرات مايكروسوفت ووفقا لبيانات مايكروسوفت، فقد أثر تحديث CrowdStrike على 8.5 مليون جهاز يعمل بنظام Windows. هذه نسبة ضئيلة من القاعدة العالمية المثبتة، ولكن كما يشير ديفيد ويستون، نائب رئيس مايكروسوفت لأمن المؤسسات وأنظمة التشغيل، “تعكس التأثيرات الاقتصادية والاجتماعية الواسعة استخدام CrowdStrike من قبل الشركات التي تدير العديد من الخدمات الحيوية. تقرير لرويترز“أكثر من نصف شركات Fortune 500 والعديد من الوكالات الحكومية مثل وكالة الأمن السيبراني الرائدة في أمريكا، وكالة الأمن السيبراني وأمن البنية التحتية، تستخدم برامج الشركة. »
ماذا حدث؟
أصدرت شركة CrowdStrike، التي تبيع برامج الأمان المصممة لحماية الأنظمة من الهجمات الخارجية، نسخة معيبة “تحديث تكوين المستشعر” إلى الملايين والملايين من أجهزة الكمبيوتر حول العالم التي تستخدم برنامج Falcon Sensor. كان هذا التحديث، وفقًا لـ CrowdStrike، عبارة عن “ملف قناة” كانت وظيفته تحديد الأنشطة الضارة التي لاحظها المهاجمون عبر الإنترنت مؤخرًا.
على الرغم من أن ملف التحديث كان له امتداد .sys، إلا أنه لم يكن برنامج تشغيل kernel في حد ذاته. ولكنه يتواصل مع مكونات مستشعر Falcon الأخرى التي تعمل في نفس المساحة مثل Windows kernel، وهو المستوى الأكثر امتيازًا على جهاز كمبيوتر يعمل بنظام Windows، حيث تتفاعل مباشرة مع الذاكرة والأجهزة. تدعي CrowdStrike أن “خطأ منطقيًا” في هذا الرمز تسبب في تعطل أجهزة الكمبيوتر والخوادم التي تعمل بنظام Windows خلال ثوانٍ من التشغيل، مما يؤدي إلى عرض خطأ STOP، المعروف بالعامية باسم شاشة الموت الزرقاء.
أيضا: تعمل Microsoft على تغيير الطريقة التي تقدم بها تحديثات Windows: 4 أشياء يجب معرفتها
يعد إصلاح الضرر الناتج عن خلل من هذا النوع عملية مؤلمة وتستغرق وقتًا طويلاً وتتطلب إعادة تشغيل كل جهاز كمبيوتر متأثر يدويًا في بيئة استرداد Windows ثم حذف الملف المعيب من جهاز الكمبيوتر باستخدام واجهة استرداد Windows القديمة. وإذا كان محرك أقراص النظام الموجود على الكمبيوتر الشخصي المعني محميًا بواسطة برنامج تشفير BitLocker من Microsoft، كما هو الحال مع جميع أجهزة الكمبيوتر الشخصية المخصصة للأعمال تقريبًا، فإن الإصلاح يتطلب خطوة إضافية: إدخال مفتاح استرداد BitLocker فريد مكون من 48 حرفًا للوصول إلى محرك الأقراص والسماح بالإزالة من برنامج التشغيل CrowdStrike الخاطئ.
إذا كنت تعرف أي شخص تتمثل مهمته في إدارة أجهزة الكمبيوتر الشخصية التي تعمل بنظام Windows في شبكة شركة تستخدم رمز CrowdStrike، فيمكنك التأكد من أنه مشغول جدًا الآن وسيظل مشغولًا في الأيام القادمة.
لقد شاهدنا هذا الفيلم من قبل
عندما سمعت لأول مرة عن هذه الكارثة (وأنا لا أستخدم هذه الكلمة بشكل فضفاض، أؤكد لك)، اعتقدت أنها تبدو مألوفة. على Reddit’s Sysadmin subreddit، المستخدم u/externedguy ذكرني لماذا. ربما تتذكر هذه القصة منذ 14 عامًا:
“يتسبب تحديث McAfee الخاطئ في انقطاع نظام XP للكمبيوتر الشخصي على مستوى العالم. »
عفوا، فعلوا ذلك مرة أخرى.
أصدرت شركة McAfee اليوم في تمام الساعة 6 صباحًا تحديثًا لتعريفات برامج مكافحة الفيروسات الخاصة بها لعملاء الأعمال الذين واجهوا مشكلة بسيطة. وأعني بـ “مشكلة بسيطة” نوع المشكلة التي تجعل جهاز الكمبيوتر غير قابل للاستخدام حتى يأتي الدعم الفني لإصلاح الضرر يدويًا. كما علقت على Twitter في وقت سابق اليوم، لست متأكدًا من أن أي كاتب فيروسات قد قام بتطوير برامج ضارة تعمل على إيقاف تشغيل العديد من الأجهزة بنفس السرعة التي فعلت بها McAfee اليوم.
في هذه الحالة، قامت شركة McAfee بتسليم ملف تعريف الفيروس (DAT) الخاطئ إلى أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows XP. اكتشف هذا الملف عن طريق الخطأ ملفًا مهمًا لنظام Windows، Svchost.exe، باعتباره فيروسًا وقام بحذفه. النتيجة بحسب تقرير معاصرهو أن “الأنظمة المتأثرة ستدخل في حلقة إعادة التشغيل و(تفقد) كل إمكانية الوصول إلى الشبكة.” »
إن أوجه التشابه بين حادثة عام 2010 وانقطاع خدمة CrowdStrike هذا العام غريبة. في الأساس، أدى التحديث الخاطئ، الذي تم نشره على ملايين أجهزة الكمبيوتر التي تستخدم وكيل برامج قوي، إلى توقف الأجهزة المتأثرة عن العمل. يتطلب الاسترداد التدخل اليدوي على كل جهاز. وتم نشر الكود المعيب من قبل شركة عامة كانت تحاول يائسة النمو في سوق شديدة التنافسية.
كان التوقيت سيئًا بشكل خاص بالنسبة لشركة McAfee. كان إنتل أعلنت عن خططها للاستحواذ على شركة McAfee, Inc. مقابل 7.68 مليار دولار في 19 أبريل 2010. تم إصدار ملف DAT المعيب بعد يومين في 21 أبريل.
كان فشل McAfee في عام 2010 بمثابة فضيحة، حيث ألحق الضرر بشركات Fortune 500 (بما في ذلك Intel!) بالإضافة إلى الجامعات والمؤسسات الحكومية والعسكرية حول العالم. ودمرت 10 في المائة من سجلات النقد في أكبر سلسلة سوبر ماركت في أستراليا، مما أدى إلى إغلاق ما بين 14 إلى 18 متجرا.
أيضا: 5 طرق لحفظ جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows 10 في عام 2025 – ومعظمها مجاني
وفي قسم “هذا لا يمكن اختلاقه”… كان جورج كورتز، المؤسس والرئيس التنفيذي لشركة CrowdStrike، هو مدير التكنولوجيا التنفيذي لشركة McAfee خلال حادثة عام 2010 هذه.
ما يجعل تكملة 2024 أكثر كارثية هو أنها أثرت أيضًا على خوادم Windows التي تعمل في السحابة، على Azure من Microsoft وAWS من Amazon. وكما هو الحال مع العديد من أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية التي تقطعت بها السبل بسبب هذا التحديث الخاطئ، تتطلب الخوادم المستندة إلى السحابة تدخلات يدوية مملة للتعافي.
فشل ضمان الجودة في CrowdStrike
من المثير للدهشة أن هذا ليس التحديث الخاطئ الأول لمستشعر CrowdStrike’s Falcon هذا العام.
منذ أقل من شهر، وفقًا لتقرير من The Stackأصدرت CrowdStrike تحديثًا منطقيًا للكشف عن مستشعر Falcon الذي كشف عن خطأ في وظيفة تحليل ذاكرة المستشعر. كتب CrowdStrike في نصيحة للعملاء: “نتيجة الخطأ هي خطأ منطقي في CsFalconService يمكن أن يتسبب في استهلاك Falcon Sensor لنظام التشغيل Windows بنسبة 100% من نواة وحدة المعالجة المركزية الواحدة. » تراجعت الشركة عن التحديث وتمكن العملاء من استئناف العمليات العادية عن طريق إعادة التشغيل.
أيضا: عندما ينفد دعم Windows 10، يكون لديك 5 خيارات، لكن خيارين فقط يستحقان الاعتبار
في ذلك الوقت، كان خبير أمن الكمبيوتر ويل توماس تم تقييمه على X/Twitter“(T) يوضح مدى أهمية تنزيل التحديثات الجديدة على الجهاز للاختبار قبل طرحها على الأسطول بأكمله! »
في حادثة عام 2010 هذه، تبين أن السبب الجذري هو تحليل كامل لعملية ضمان الجودةويبدو من الواضح أن فشلًا مماثلًا في ضمان الجودة يحدث هنا. ألم يتم اختبار تحديثي CrowdStrike هذين قبل طرحهما على ملايين الأجهزة؟
قد يكون جزء من المشكلة هو ثقافة الشركة التي تميل إلى أن تكون صاخبة للغاية. خلال آخر مكالمة جماعية لأرباح CrowdStrike، تفاخر الرئيس التنفيذي جورج كورتز بقدرة الشركة على “تقديم منتجات تغير قواعد اللعبة بوتيرة سريعة”، مستهدفًا Microsoft على وجه التحديد:
ومؤخرًا، في أعقاب الخرق الأمني الكبير الجديد لشركة Microsoft وفقًا للنتائج التي توصلت إليها لجنة تقييم الأمن السيبراني التابعة لرابطة الدول المستقلة، تلقينا موجة من طلبات المساعدة من السوق. لقد قررنا أن هذا يكفي، فقد كانت هناك أزمة ثقة واسعة النطاق بين فرق الأمان وتكنولوجيا المعلومات داخل قاعدة عملاء أمان Microsoft.
(…)
وكانت ردود الفعل إيجابية للغاية. لدى CISAs الآن الفرصة لتقليل مخاطر الزراعة الأحادية باستخدام منتجات وخدمات Microsoft السحابية فقط. ويستمر ابتكارنا بوتيرة مذهلة، مما يضاعف الأسباب التي تدفع السوق إلى الاندماج في فالكون. يتم دمج آلاف المنظمات في منصة Falcon.
ونظرًا للأحداث الأخيرة، قد يتساءل بعض هؤلاء العملاء عما إذا كانت هذه “الوتيرة المحمومة” جزءًا من المشكلة.
ما حجم اللوم الذي يقع على عاتق مايكروسوفت؟
من المستحيل ترك Microsoft خارج الخطاف تمامًا. بعد كل شيء، كانت مشكلات مستشعر Falcon خاصة بأجهزة الكمبيوتر التي تعمل بنظام Windows، حيث سارع المسؤولون في متاجر Linux وMac إلى تذكيرنا.
هذه مشكلة معمارية جزئيًا. يقوم مطورو التطبيقات على مستوى النظام لنظام Windows، بما في ذلك برامج الأمان، بتنفيذ وظائفهم بشكل تقليدي باستخدام ملحقات kernel وبرامج التشغيل. كما يوضح هذا المثال، يمكن أن تتسبب التعليمات البرمجية الخاطئة التي يتم تشغيلها في مساحة kernel في حدوث أعطال غير قابلة للاسترداد، في حين أن التعليمات البرمجية التي يتم تشغيلها في مساحة المستخدم لا يمكن ذلك.
أيضا: 7 طرق لجعل Windows 11 أقل مللاً
كان هذا هو الحال أيضًا مع نظام التشغيل MacOS، ولكن في عام 2020، مع نظام التشغيل MacOS 11، غيرت شركة Apple بنية نظام التشغيل الرئيسي الخاص بها إلى لا يشجع بشدة استخدام ملحقات kernel. بدلاً من ذلك، يتم تشجيع المطورين على كتابة ملحقات النظام التي تعمل في مساحة المستخدم بدلاً من تشغيلها على مستوى النواة. على نظام التشغيل MacOS، CrowdStrike يستخدم إطار عمل أمان نقطة النهاية من Apple ويقول إنه باستخدام هذا التصميم، “يحقق Falcon نفس مستويات الرؤية والكشف والحماية حصريًا من خلال مستشعر مساحة المستخدم.” »
هل يمكن لشركة Microsoft إجراء نفس النوع من التغيير لنظام التشغيل Windows؟ ربما، ولكن من المؤكد أن هذا سوف يجتذب غضب سلطات المنافسة، وخاصة في أوروبا. المشكلة خطيرة بشكل خاص لأن Microsoft لديها أعمال أمنية مؤسسية مربحة، وأي تغييرات معمارية تجعل الحياة أكثر صعوبة بالنسبة للمنافسين مثل CrowdStrike ستُعتبر بحق مناهضة للمنافسة.
مايكروسوفت حاليا يقدم واجهات برمجة التطبيقات لـ Microsoft Defender لنقطة النهايةلكن من غير المرجح أن يستخدمها المنافسون. إنهم يفضلون القول بأن برامجهم متفوقة وأنه سيكون من الصعب أن يشرحوا للعملاء كيفية استخدام عروض مايكروسوفت “الأدنى”.
لكن هذا الحادث، الذي تسبب في أضرار بمليارات الدولارات، يجب أن يكون بمثابة تحذير لمجتمع تكنولوجيا المعلومات بأكمله. كحد أدنى، يحتاج CrowdStrike إلى تكثيف اختباراته. ويجب أن يكون العملاء أكثر حرصًا بشأن السماح لهذا النوع من التعليمات البرمجية بالنشر على شبكاتهم دون اختباره بأنفسهم.
