Kritické události

Nedostupnost Microsoft Cloud Služeb

Výpadek cloudových služeb Microsoftu začal 19. července a způ­so­bil rozsáhlé narušení služeb po celém světě. Tento incident zasáhl nejen Azure, ale také Microsoft 365 aplikace. Výpadek byl způsoben chybou v konfiguraci, která blokovala pohyb dat mezi některými úlo­ži­š­ti a virtuálními stroji, což vedlo k nefunkčnosti několika klíčových služeb. Tato událost měla dopad na letecké společnosti, banky a další podniky, které jsou závislé na těchto cloudových službách.

Problém CrowdStrike

Aktualizace Falcon Sensoru od společnosti CrowdStrike vedla k tzv. modré obrazovce smrti na mnoha Windows zařízeních po celém světě. Tento problém paralyzoval provoz v kritických sektorech, jako jsou záchranné služby, banky a letiště. Problém byl způsoben defektem v aktualizaci obsahu pro Windows, což způsobilo, že systémy nebyly schopny správně nabootovat.

Zvýšená Aktivita APT42

Současně s výpadky technických služeb byla zaznamenána zvýšená aktivita kybernetické hrozby APT42. Tento incident využili kyberzločinci k cíleným útokům, což dále zhoršilo situaci.

Detailní popis incidentu CrowdStrike

Aktualizace softwaru Falcon Sensor obsahovala chybu v ovladači „csagent.sys“, která způsobila selhání Windows systémů. K tomuto selhání přispělo několik klíčových faktorů:

1. Nedostatečné testování – Aktualizace nebyla dostatečně testována před nasazením do produkčního prostředí. Důkladné testování na různých konfiguracích systému by mohlo odhalit kritické chyby.
2. Chybějící beta testování – Nedostatečné beta testování znamenalo, že aktualizace nebyla testována na omezeném počtu zařízení před širším nasazením, což by mohlo odhalit problémy dříve.
3. Chybné procesy kontroly kódu – Selhání v kontrolních mechanismech a nedostatečná kontrola kódu vedly k tomu, že aktualizace obsahovala chyby způsobující systémová selhání. Automatické kontroly kódu na nulové ukazatele (null pointers) jsou běžné a u aktualizací kernelových ovladačů o to více důležité. Chyba v aplikaci způsobí pád aplikace, ovšem chyba v komponentě Windows vede k pádu celého operačního systému.
4. Rychlé nasazení aktualizace – Aktualizace byla nasazena bez postupného rolloutu, což znamenalo, že jakmile byla aktualizace nasazena, postihla okamžitě všechny uživatele.

Dopady na kritické sektory

• Záchranné služby: Výpadek způsobil narušení komunikace a provozu, což mělo potenciálně závažné důsledky pro reakci na nouzové situace.
• Bankovní sektor: Banky zaznamenaly problémy s přístupem k datům a s transakcemi, což vedlo k finančním ztrátám a narušení důvěry zákazníků.
• Letiště: Problémy v letištní infrastruktuře vedly k narušení letových plánů a provozu, což ovlivnilo cestující po celém světě.

Dopad na trh a investory

Výpadek měl významný dopad na trh a důvěru investorů. Akcie CrowdStrike klesly o 13 %, což odráží obavy investorů z rizik spojených s technologickými aktualizacemi. Akcie Microsoftu rovněž zaznamenaly pokles v důsledku výpadku jejich služeb.

Phishingové kampaně

Tato situace byla zneužita kyberzločinci k phishingovým kampaním. Útočníci využívají chaos způsobený výpadkem a posílají falešné e-maily s nabídkou řešení problému, což vede k dalšímu narušení bezpečnosti postižených organizací.

Závěr

Černý pátek 19. července 2024 slouží jako důležitá lekce pro celý sektor kybernetické bezpečnosti. Zahrnuje potřebu důkladného testování, zajištění bezpečnosti již od návrhu a pečlivého zvážení vhodnosti cloudových řešení pro kritické služby. Firmy musí být připraveny na podobné incidenty a mít robustní plány pro obnovu po havárii, aby minimalizovaly dopady na své operace a zákazníky. Firmy by měly také zvážit větší začlenění Mac a Linux platforem ve svých organizacích, aby minimalizovaly závislost na jediném operačním systému a zvýšily svou odolnost vůči výpadkům.

Petr Zahálka Autor článku je obchodní ředitel Thein Security. Článek byl redakčně upraven.