McAfee זורע הרס בעולם • HWzone
מחשבים

McAfee זורע הרס בעולם

מבוכה אדירה בחברת McAfee – עדכון חתימות השבית מיליוני מחשבים ברחבי העולם, כולל בישראל.

קבלו עדכונים לפני כולם בטלגרםקבלו מאיתנו עדכונים לפני כולם - בטלגרםהצטרפו כבר עכשיו לערוץ הטלגרם של הזון


מיליוני מחשבים ברחבי העולם הושבתו ב-48 השעות האחרונות עקב תקלה חמורה של אחת מחברות האנטי-וירוס הגדולות בעולם – McAfee.
עדכון חתימות וירוסים אמור להגן על מחשבים מפני סוגים מסוימים של איומים קיברנטיים; כדי למנוע ממחשבכם להפוך לחלק מרשת בוטנט או להיות מושבת כליל, תמיד כדאי להוריד מיידית את עדכון חתימות הוירוסים של האנטיוירוס המותקן אצלכם כדי להקדים תרופה למכה. למרבה הצער, הפעם המכה היא שהקדימה את התרופה ועדכון חתימות הוירוסים עצמו השבית מיליוני מחשבים ברחבי העולם ע"י חיסול קובץ המערכת svchost.exe.

הפינה הטכנית
עדכון החתימות האחרון של McAfee שמספרו 5958, הגדיר בטעות את הקובץ svchost.exe כוירוס "W32/Wecorl.a" ואז פשוט מחק אותו בכל המחשבים בהם הותקנה מערכת ההפעלה עם Service Pack 3, מה שגרם לקריסה מיידית של המערכת.
הקובץ svchost.exe הינו קובץ הפעלה כללי שמורץ על ידי שירותים שונים במערכת ההפעלה ונמצאים בתיקיות קישורים דינמיים (DLL=Dynamic Link Library). במילים פשוטות, מכיוון שקבצי DLL אינם קבצי הפעלה ולכן לא יכולים לרוץ בעצמם, לרוב svchost.exe הוא הקובץ שמייצג שירות (service) או קבוצת service-ים שרצה אצלכם במערכת ההפעלה. כאשר מגיע זמנו של שירות שכזה לרוץ ולהפעיל תכונה מסויימת במערכת ההפעלה, אותם service-ים יופעלו ע"י מערכת ההפעלה בצורת מספר קבצי svchost שנטענו קודם לכן מתוך קבצי DLL. למעשה, הסיבה שיש ב-Task Manager בכל רגע נתון מספר תהליכי svchost היא מכיוון שהם מייצגים מספר שירותים שרצים כרגע ברקע מערכת ההפעלה.
לדוגמה, svchost.exe אחד מייצג את כלל תכונות ממשק המשתמש (GUI) של מערכת ההפעלה, svchost.exe שני מייצג את כלל שירותי הרשת שרצים כרגע בו זמנית (לדוגמה DHCP, NETLOGON, ICS וכדומה) ו-svchost.exe שלישי מייצג שירותים הקשורים לפעילות תקינה של Firewall.
מחיקת קובץ ה-svchost.exe שבוצעה על ידי האנטי-וירוס של McAfee, גרמה מיידית ללולאה אינסופית של אתחולים – ללא הקובץ, השירותים השונים במערכת לא יכלו לפעול, ומערכת ההפעלה עצמה כלל לא יכלה לעלות, מה שהותיר מיליוני משתמשים ברחבי העולם (ואף ברגעים אלו ממש) – חסרי אונים לחלוטין, וללא מחשב.

כמו אש בשדה קוצים
מנגנון עדכון חתימות הוירוסים הארגוני האוטומטי של החברה, ה-"ePolicyOrchestrator", גרם להתפשטות התופעה כאש בשדה קוצים במחשבי ארגונים רבים, שכן בחברות גדולות עדכונים מסוג זה לרוב "נדחפים" לכל מחשב בארגון מבלי שמשתמשי הקצה כלל מודעים לכך. החברות שנפגעו כוללות חברות רבות ברשימת ה-Fortune 500, רשימת 500 החברות הגדולות בעולם. בין הנפגעים ניתן למצוא מוסדות חינוך (בארה"ב נפגעה קשות אוניברסיטת מישיגן בה הושבתו למעלה מ-8,000 מחשבים ובישראל נפגעו מוסדות רבים להשכלה גבוהה, ביניהם הטכניון), בתי חולים, חברות היי-טק, גופי ביטחון, בתי עסק קטנים ולקוחות פרטיים ברחבי העולם. כמעט אף חברה לא הייתה מוכנה להודות באופן פומבי שחלק גדול ממחשביה הושבת לחלוטין מפעילות כדי לא לפגוע בתדמיתה, אך סממן מובהק להיקף הנזק שנגרם ללקוחות ברחבי העולם ניתן הוא העובדה ששעתיים בלבד לאחר שחרור העדכון אתר התמיכה של חברת McAfee קרס מעומס ולא היה זמין, מה שתרם למהומה.
בתוך מרבית החברות, הסיפור התחיל להתפשט כאשר משתמשים שמו לב שפתאום אין להם גישה לרשת והציפו בשיחות את מוקד ה-Help Desk שלהם, ועד שנמצא פתרון עבר זמן רב ונמרטו הרבה שערות מהראש. הפתרון היחיד של מנהלי הרשת בחברות רבות היה לנתק מיידית מהרשת תת Subnets שלמים (תת בתוך הארגון) כדי שלא יקבלו את העדכון הבעייתי. אמנם בכך נחסמה לעובדים גישה לאינטרנט, אך לפחות מחשביהם המשיכו לעבוד כרגיל.

הפתרון
אמנם הפתרון שפרסמה McAfee הוא די פשוט, אך צריך להבינו לעומק ולהזהר כאשר אותו. במילים פשוטות, הפתרון דורש להעתיק חזרה לתיקיית C:WINDOWSsystem32 את קובץ ה-svchost.exe מתוך תיקיית C:WINDOWSsystem32dllcache. המשמעות היא שבכל חברה, טכנאי המחשב יזכרו את היום הזה לדראון עולם, שכן הם ייאלצו לגשת פיזית לכל אחד ממאות ואלפי מחשבי החברה ולתקן את הנזק ע"י תהליך ידני.
את המשתמשים הביתיים תפס העדכון של McAfee לא מוכנים לחלוטין, שכן התהליך מצריך כניסה ידנית למערכת הפעלה (מכיוון שכבר לא ניתן לגשת אליה פשוט ע"י הפעלת המחשב). מכיוון שרוב הלקוחות הפרטיים אינם מסוגלים לבצע את התהליך לבדם, פתרון התקלה ידרוש הזמנת פרטי במלוא העלות הכספית הכרוכה בכך.
יש לציין שגם מיקרוסופט שחררה עדכון בנושא, המפרט את הצעדים לתיקון התקלה (שזהים במהותם לאלו שהציעה McAfee) – דבר המצביע על היקף הנזק שנגרם.

מילה אחת-QA!
אנו תקווה שהאסון הזה שגרם לפגיעה אנושה בתדמית החברה (מה שבוודאי יתרום לתדמית ענקיות אבטחת מידע ואנטי-וירוס אחרות כמו  Check Point, Kaspersky ו-ESET) יגרום לחברת McAfee לבצע תהליך QA (בקרת איכות) קפדני הרבה יותר לגרסאות חתימות הוירוסים הבאות אותן היא תוציא, וישמש סימן אזהרה בולט לחברות אחרות,  שיידרשו לנקוט משנה זהירות עם הקבצים אותן הן מסווגות כוירוסים בעדכוני החתימות שלהן.
McAfee כבר הספיקה לשחרר עדכון חתימה חדש בגרסה 5959 שיורד באופן אוטומטי לשרתים ומחשבי הלקוחות שעדיין לא נפגעו ומוחק את החתימות הקודמות, אך עם כל הצער שבדבר, אלפי טכנאים מתרוצצים ברגעים אלו ברחבי העולם במטרה לתקן את התקלה, וחברות רבות מושבתות לחלוטין מפעילות.


תגיות

25 תגובות

  1. השבית את כל….
    אוניברסיטת בן גוריון עם העדכון הזה….

  2. איזה פאלטה
    לא מיקצועי אם הייתה קורת אצלי התקלה הייתי משתגע, אני צריך למאלות הוראות אחרי החברה ששילמתי לה כסף ?!

  3. המסמר האחרון בארון הקבורה של האנטי וירוס הכושל הזה
    McAfee RIP

  4. וואלה כמו וירוס הדבר הזה :D
    וואלה כמו וירוס הדבר הזה :D
    הכי חזק שאני מכיר

  5. מנהל רשת בבת-ספר
    אני צריך לעבור על 400 מחשבים
    איזה QA דפוק יש להם
    מטומטמים

  6. זה האתר היחיד שפירט על הסוגייה הטכנית של SVCHOST ואת התכלס המעניין. ממש כל הכבוד

  7. איזה באסה
    בדיוק התקנתי כמה אנטי וירוסים בגלל בעיות שהיו לי
    מזל שלא הגעתי למקפי וכרגע עומד על גרסת נסיון של קספארסקי

  8. פשוט עלוב
    זה עלוב שחברה כזאת פשוט עושה טעות כול כך ענקית שגורמת לאלפי חברות להשבית את עצמם כדי לטפל בבעיה ,פשוט אנטיוירוס עלוב , עדיף להתקין את האANTIVIR החימי של AVIRA

  9. מעניין אם מכמות המחשבים שצריכים תיקון
    מנהלי הרשתות יתאבדו ואז יתפנו לי מקומות עבודה

  10. בהחלט פאדיחה נוראית..
    איך חברות מסויימות עובדות כל כל קשה על המוניטין שלהם, בונות את עצמם במשך שנים שלמות, מחזיקות יועצים ומומחים רק לשיפור התדמית וביום אחד, בטעות אחת טיפשית, ב-ו-ם.

  11. למירו(תגובה 20), זה בגלל ש-McAfee השקיעו בבל"ת ולא ב-,QA שאמור לבדוק את המוצר לפני שהוא יוצא ללקוחות

  12. תכלס גם מנהלי הרשתות מפגרים
    הרי לכל ארגון יש שרת מרכזי של MCFEE שמקבל עידכונים
    אז למה לדחוף אותם ליוזרים ישר למה לא לחכות יומיים ורק אז לאשר לשרת לדחוף את העידכונים למשתמשים

  13. עדכונים בפנים | גי פשוט לתיקון הבעייה | McAfee משפרת את ה-QA שלה
    1. McAfee פיתחה כלי נוח שמריצים ממערכת הפעלה פגועה שמתקן את המצב. ראו SOLUTION 1
    https://kc.mcafee.com/corporate/index?page=content&id=KB68780

    2. דירקטור התמיכה הטכנית מתנצל ומפרט איך הם שינו את ה-QA שלהם:
    http://siblog.mcafee.com/support/an-update-on-false-positive-remediation/

    מאוד מרתק לקרוא את התגובות של הלקוחות הענקיים של החברה ומה עבר עליהם בתגובות למטה. סיפורי זוועה על בתי חולים שלא עבדו, רשת של 190 חנויות שנסגרה, מנהל מחשוב של חברה ענקית שזועם כי לא ראה את אשתו מזה 4 ימים כי כל הזמן עסק עם צוותו בתיקון המחשבים שנפגעו ועוד לקוחות שזועמים על הדרך שבה החברה הגיבה כשאמרה "הייתה פגיעה "מינימלית" בלקוחות".

  14. מה נסגר עם הכותרת בנאדם?
    מה נסגר עם הכותרת המפוצצת הזאת? חשבתי שמינימום פרצה מלחמת עולם שלישית…

כתיבת תגובה

Back to top button
Close
Close