CrowdStrike ได้เผยแพร่ การวิเคราะห์สาเหตุหลัก (RCA) ขอ งการอัปเดตซอฟต์แวร์ที่มีข้อบกพร่อง ซึ่งทำให้คอมพิวเตอร์ระบบ Windows กว่า 8.5 ล้านเครื่อง ขึ้น จอฟ้า เกิดความเสียหาย เมื่อวันที่ 19 กรกฎาคม และ ได้สรุปรายละเอียดการเปลี่ยนแปลง ที่จะเกิดขึ้น หลังจากเหตุขัดข้องนี้ด้วย
รายงาน การวิเคราะห์สาเหตุหลักของ CrowdStrike (คราวด์สไตรค์) มีความยาว 12 หน้า อธิบายสาเหตุ ของปัญหาคอมพิวเตอร์ขึ้น จอฟ้า ในเชิงลึก มากกว่า การตรวจสอบเบื้องต้น (PIR) ที่เผยแพร่เมื่อ 5 วันหลังเกิดเหตุขัดข้องทั่วโลก ซึ่งอาจทำให้ลูกค้าของ คราวด์สไตรค์ สูญเสียเงินไป 15,000 ล้านดอลลาร์สหรัฐฯ
การขัดข้องนี้ ยังส่งผลให้ผู้ถือหุ้น และ ลูกค้า ดำเนินคดีทางกฎหมาย รวมถึ งมีการขู่ตอบโต้ระหว่าง คราวด์สไตรค์ และสายการบินเดลต้า แอร์ไลน์ เกี่ยวกับการฟื้นฟูระบบของสายการบินจากเหตุขัดข้อง ซึ่งทาง ไมโครซอฟท์ ได้เข้ามามีส่วนร่วมในเรื่องนี้ด้วย
ในรายงานสาเหตุหลัก คราวด์สไตรค์ เปิดเผยว่า ข้อผิดพลาดเกิดขึ้น ตั้งแต่เดือนกุมภาพันธ์ เมื่อ คราวด์สไตรค์ เปิดตัวเซ็นเซอร์เวอร์ชัน 7.11 ซึ่งมีการปรับปรุงการสื่อสารระหว่าง กระบวนการ (IPC) ของ Windows โดยเทมเพลลต IPC ถูกส่งเป็นเนื้อหาการตอบสนองอย่างรวดเร็ว ไปยังเซ็นเซอร์ ผ่านไฟล์ช่องหมายเลข 291
เทมเพลต IPC ใหม่กำหนด ฟิลด์พารามิเตอร์อินพุต 21 ฟิลด์ แต่โค้ดอินทิเกรต ที่ใช้ตัวแปลเนื้อหาด้วยเทมเพลตอินสแตนซ์ ของไฟล์ช่อง 291 ระบุค่าอินพุตเพียง 20 ค่าเท่านั้น ทำให้เกิดปัญหาการจับคู่ และ ทดสอบพารามิเตอร์ไม่ครบ
เมื่อวันที่ 19 กรกฎาคม เทมเพลตอินสแตนซ์ IPC เพิ่มเติมอีกสองตัวถูกนำมาใช้ โดยมีการใช้เกณฑ์การจับคู่แบบไม่ใช่ไวด์การ์ด กับพารามิเตอร์อินพุตตัวที่ 21 ซึ่งส่งผลให้เซ็นเซอร์ต้องตรวจสอบ พารามิเตอร์อินพุตที่ 21 และ ทำให้ระบบล่ม
คราวด์สไตรค์ ให้คำมั่นที่จะเปลี่ยนแปลง 6 อย่างหลังจากเหตุการณ์นี้
1. ตรวจสอบจำนวนฟิลด์อินพุตในเทมเพลตตอนคอมไพล์เซ็นเซอร์
2. แก้ไขขอบเขต การตรวจสอบอาร์เรย์รันไทม์ที่ขาดหายไปในฟิลด์อินพุตของ Content Interpreter บนไฟล์ช่อง 291
3. ทดสอบเทมเพลต ให้ครอบคลุมเกณฑ์การจับคู่ที่หลากหลายยิ่งขึ้น
4. ขยายการทดสอบภายใน Content Interpreter
5. ปรับใช้เทมเพลต เป็นขั้นตอน รวมถึงการควบคุมลูกค้าในการเปิดตัว
6. ใช้ไดรเวอร์เคอร์เนล Windows ที่แก้ไขแล้ว
คราวด์สไตรค์ ยังระบุว่า มีการย้ายฟังก์ชันไดรเวอร์เคอร์เนล ไปยังพื้นที่ผู้ใช้ที่มีความอ่อนไหวต่อข้อมูลน้อยลง เมื่อความสามารถเหล่านั้นพัฒนา
จอร์จ เคิร์ตซ์ ซีอีโอ และ ผู้ก่อตั้ง คราวด์สไตรค์ ออกแถลงการณ์ว่า “เราเสียใจอย่างยิ่งกับผลกระทบที่เกิดขึ้น ไม่มีอะไรสำคัญไปกว่าการได้รับความไว้วางใจและความเชื่อมั่นจากคุณกลับคืนมา”
ในขณะเดียวกัน ไมโครซอฟท์ ก็ได้เข้าร่วมการต่อสู้ โดยระบุว่าการหยุดให้บริการของ สายการบินเดลต้า นานกว่าคู่แข่ง เนื่องจาก ระบบที่ไม่ใช่ของ ไมโครซอฟท์ “ระบบไอที ที่ประสบปัญหาในการกู้คืนมากที่สุด ซึ่งก็คือระบบติดตาม และ จัดตารางการทำงานของพนักงาน ได้รับบริการจาก ผู้ให้บริการเทคโนโลยีรายอื่น เช่น IBM” ทนายความของ Microsoft กล่าว โดย ไมโครซอฟท์ จะปกป้องตัวเองในคดีความใด ๆ หาก สายการบินเดลต้า เลือกดำเนินการต่อไป
สำหรับ คราวด์สไตรค์ เป็นบริษัทด้านความปลอดภัย ด้านไอที ที่มุ่งเน้นการพัฒนา และ ให้บริการโซลูชันป้องกันการเข้าถึงแอปพลิเคชัน และ การโจมตีในระบบคอมพิวเตอร์ (Endpoint Protection) โดย ใช้เทคโนโลยีประมวลผลข้อมูล และ AI เพื่อตรวจสอบ แล ะตอบสนองต่อการแทรกแซง (Intrusion) และ บุกรุก (Attack) ในระบบขององค์กร
https://thecyberexpress.com/crowdstrike-root-cause-analysis
https://thejournalistclub.com/crowdstrike-it-outage-cyber-windows-microsoft/