Błędna aktualizacja CrowdStrike spowodowała ogólnoświatową katastrofę technologiczną, która w piątek dotknęła 8,5 miliona urządzeń z systemem Windows, według Microsoftu. Microsoft twierdzi, iż to „mniej niż jeden procent wszystkich komputerów z systemem Windows”, ale to wystarczyło, aby stworzyć problemy dla sprzedawców detalicznych, banków, linii lotniczych i wielu innych branż, a także dla wszystkich, którzy na nich polegają.
Analiza CrowdStrike’a wyjaśnia plik konfiguracyjny, który był przyczyną problemu:
Pliki konfiguracyjne wymienione powyżej są określane jako „Pliki kanału” i są częścią mechanizmów ochrony behawioralnej używanych przez czujnik Falcon. Aktualizacje plików kanałów są normalną częścią działania czujnika i występują kilka razy dziennie w odpowiedzi na nowe taktyki, techniki i procedury odkryte przez CrowdStrike. Nie jest to nowy proces; architektura ta jest obecna od początku istnienia Falcon.
CrowdStrike wyjaśnił, iż plik nie jest sterownikiem jądra, ale odpowiada za „sposób, w jaki Falcon ocenia wykonanie named pipe1 w systemach Windows”. Badacz ds. bezpieczeństwa i założyciel Objective See Patrick Wardle mówi, iż wyjaśnienie jest zgodna z wcześniejszą analizą, którą on i inni przedstawili na temat przyczyny awarii, ponieważ plik problemowy „C-00000291- „wyzwolił błąd logiczny, który spowodował awarię systemu operacyjnego” (za pośrednictwem CSAgent.sys).”
Inne fragmenty bloga CrowdStrike’a wyjaśniają więcej na temat tego, co poszło nie tak:
19 lipca 2024 r. o 04:09 UTC, w ramach trwających operacji, CrowdStrike wydał aktualizację konfiguracji czujników dla systemów Windows. Aktualizacje konfiguracji czujników są trwającą częścią mechanizmów ochrony platformy Falcon. Ta aktualizacja konfiguracji wywołała błąd logiczny, który spowodował awarię systemu i niebieski ekran (BSOD) w systemach, których dotyczyła.
Które systemy zostały dotknięte i kiedy:
Systemy, w których działał czujnik Falcon dla systemu Windows 7.11 i nowszych, a których zaktualizowana konfiguracja została pobrana w godzinach 04:09 UTC – 05:27 UTC, były podatne na awarię systemu.
Aktualizacje plików kanału CrowdStrike były przesyłane na komputery bez względu na jakiekolwiek ustawienia mające na celu uniemożliwienie takich automatycznych aktualizacji, Wardle zauważył.
