מבוכה אדירה בחברת McAfee – עדכון חתימות וירוסים השבית מיליוני מחשבים ברחבי העולם, כולל בישראל.
מיליוני מחשבים ברחבי העולם הושבתו ב-48 השעות האחרונות עקב תקלה חמורה של אחת מחברות האנטי-וירוס הגדולות בעולם – McAfee.
עדכון חתימות וירוסים אמור להגן על מחשבים מפני סוגים מסוימים של איומים קיברנטיים; כדי למנוע ממחשבכם להפוך לחלק מרשת בוטנט או להיות מושבת כליל, תמיד כדאי להוריד מיידית את עדכון חתימות הוירוסים של האנטיוירוס המותקן אצלכם כדי להקדים תרופה למכה. למרבה הצער, הפעם המכה היא שהקדימה את התרופה ועדכון חתימות הוירוסים עצמו השבית מיליוני מחשבים ברחבי העולם ע"י חיסול קובץ המערכת svchost.exe.
הפינה הטכנית
עדכון החתימות האחרון של McAfee שמספרו 5958, הגדיר בטעות את הקובץ svchost.exe כוירוס "W32/Wecorl.a" ואז פשוט מחק אותו בכל המחשבים בהם הותקנה מערכת ההפעלה Windows XP עם Service Pack 3, מה שגרם לקריסה מיידית של המערכת.
הקובץ svchost.exe הינו קובץ הפעלה כללי שמורץ על ידי שירותים שונים במערכת ההפעלה ונמצאים בתיקיות קישורים דינמיים (DLL=Dynamic Link Library). במילים פשוטות, מכיוון שקבצי DLL אינם קבצי הפעלה ולכן לא יכולים לרוץ בעצמם, לרוב svchost.exe הוא הקובץ שמייצג שירות (service) או קבוצת service-ים שרצה אצלכם במערכת ההפעלה. כאשר מגיע זמנו של שירות שכזה לרוץ ולהפעיל תכונה מסויימת במערכת ההפעלה, אותם service-ים יופעלו ע"י מערכת ההפעלה בצורת מספר קבצי svchost שנטענו קודם לכן מתוך קבצי DLL. למעשה, הסיבה שיש ב-Task Manager בכל רגע נתון מספר תהליכי svchost היא מכיוון שהם מייצגים מספר שירותים שרצים כרגע ברקע מערכת ההפעלה.
לדוגמה, svchost.exe אחד מייצג את כלל תכונות ממשק המשתמש (GUI) של מערכת ההפעלה, svchost.exe שני מייצג את כלל שירותי הרשת שרצים כרגע בו זמנית (לדוגמה DHCP, NETLOGON, ICS וכדומה) ו-svchost.exe שלישי מייצג שירותים הקשורים לפעילות תקינה של Windows Firewall.
מחיקת קובץ ה-svchost.exe שבוצעה על ידי האנטי-וירוס של McAfee, גרמה מיידית ללולאה אינסופית של אתחולים – ללא הקובץ, השירותים השונים במערכת לא יכלו לפעול, ומערכת ההפעלה עצמה כלל לא יכלה לעלות, מה שהותיר מיליוני משתמשים ברחבי העולם (ואף ברגעים אלו ממש) – חסרי אונים לחלוטין, וללא מחשב.
כמו אש בשדה קוצים
מנגנון עדכון חתימות הוירוסים הארגוני האוטומטי של החברה, ה-"ePolicyOrchestrator", גרם להתפשטות התופעה כאש בשדה קוצים במחשבי ארגונים רבים, שכן בחברות גדולות עדכונים מסוג זה לרוב "נדחפים" לכל מחשב בארגון מבלי שמשתמשי הקצה כלל מודעים לכך. החברות שנפגעו כוללות חברות רבות ברשימת ה-Fortune 500, רשימת 500 החברות הגדולות בעולם. בין הנפגעים ניתן למצוא מוסדות חינוך (בארה"ב נפגעה קשות אוניברסיטת מישיגן בה הושבתו למעלה מ-8,000 מחשבים ובישראל נפגעו מוסדות רבים להשכלה גבוהה, ביניהם הטכניון), בתי חולים, חברות היי-טק, גופי ביטחון, בתי עסק קטנים ולקוחות פרטיים ברחבי העולם. כמעט אף חברה לא הייתה מוכנה להודות באופן פומבי שחלק גדול ממחשביה הושבת לחלוטין מפעילות כדי לא לפגוע בתדמיתה, אך סממן מובהק להיקף הנזק שנגרם ללקוחות ברחבי העולם ניתן הוא העובדה ששעתיים בלבד לאחר שחרור העדכון אתר התמיכה של חברת McAfee קרס מעומס ולא היה זמין, מה שתרם למהומה.
בתוך מרבית החברות, הסיפור התחיל להתפשט כאשר משתמשים שמו לב שפתאום אין להם גישה לרשת והציפו בשיחות את מוקד ה-Help Desk שלהם, ועד שנמצא פתרון עבר זמן רב ונמרטו הרבה שערות מהראש. הפתרון היחיד של מנהלי הרשת בחברות רבות היה לנתק מיידית מהרשת תת Subnets שלמים (תת רשתות בתוך הארגון) כדי שלא יקבלו את העדכון הבעייתי. אמנם בכך נחסמה לעובדים גישה לאינטרנט, אך לפחות מחשביהם המשיכו לעבוד כרגיל.
הפתרון
אמנם הפתרון שפרסמה McAfee הוא די פשוט, אך צריך להבינו לעומק ולהזהר כאשר מבצעים אותו. במילים פשוטות, הפתרון דורש להעתיק חזרה לתיקיית C:WINDOWSsystem32 את קובץ ה-svchost.exe מתוך תיקיית C:WINDOWSsystem32dllcache. המשמעות היא שבכל חברה, טכנאי המחשב יזכרו את היום הזה לדראון עולם, שכן הם ייאלצו לגשת פיזית לכל אחד ממאות ואלפי מחשבי החברה ולתקן את הנזק ע"י תהליך ידני.
את המשתמשים הביתיים תפס העדכון של McAfee לא מוכנים לחלוטין, שכן התהליך מצריך כניסה ידנית למערכת הפעלה (מכיוון שכבר לא ניתן לגשת אליה פשוט ע"י הפעלת המחשב). מכיוון שרוב הלקוחות הפרטיים אינם מסוגלים לבצע את התהליך לבדם, פתרון התקלה ידרוש הזמנת טכנאי מחשבים פרטי במלוא העלות הכספית הכרוכה בכך.
יש לציין שגם מיקרוסופט שחררה עדכון בנושא, המפרט את הצעדים לתיקון התקלה (שזהים במהותם לאלו שהציעה McAfee) – דבר המצביע על היקף הנזק שנגרם.
מילה אחת-QA!
אנו תקווה שהאסון הזה שגרם לפגיעה אנושה בתדמית החברה (מה שבוודאי יתרום לתדמית ענקיות אבטחת מידע ואנטי-וירוס אחרות כמו Check Point, Kaspersky ו-ESET) יגרום לחברת McAfee לבצע תהליך QA (בקרת איכות) קפדני הרבה יותר לגרסאות חתימות הוירוסים הבאות אותן היא תוציא, וישמש סימן אזהרה בולט לחברות אבטחה אחרות, שיידרשו לנקוט משנה זהירות עם הקבצים אותן הן מסווגות כוירוסים בעדכוני החתימות שלהן.
McAfee כבר הספיקה לשחרר עדכון חתימה חדש בגרסה 5959 שיורד באופן אוטומטי לשרתים ומחשבי הלקוחות שעדיין לא נפגעו ומוחק את החתימות הקודמות, אך עם כל הצער שבדבר, אלפי טכנאים מתרוצצים ברגעים אלו ברחבי העולם במטרה לתקן את התקלה, וחברות רבות מושבתות לחלוטין מפעילות.