Aktualizacja CrowdStrike popsuła 8,5 mln urządzeń z Widnowsem

Globalna awaria IT z minionego piątku wynikała z aktualizacji konfiguracji czujnika na platformie Falcon firmy CrowdStrike, która spowodowała błąd logiczny systemu Windows.

Logo Crowdstrike

Według Microsoftu wadliwa aktualizacja CrowdStrike spowodowała w piątek ogólnoświatową katastrofę technologiczną, która dotknęła 8,5 miliona urządzeń z systemem Windows. Microsoft twierdzi, że to „mniej niż jeden procent wszystkich komputerów z systemem Windows”, ale wystarczyło, aby stworzyć problemy dla sprzedawców detalicznych, banków, linii lotniczych i wielu innych branż, a także wszystkich, którzy na nich polegają.

Opublikowana w piątek analiza techniczna CrowdStrike wyjaśnia bardziej szczegółowo, co się stało i dlaczego problem dotyczył tak wielu systemów jednocześnie.

CrowdStrike opisał plik konfiguracyjny, który był przyczyną problemu: Wspomniane powyżej pliki konfiguracyjne nazywane są „Plikami kanałów” i stanowią część mechanizmów ochrony behawioralnej wykorzystywanych przez czujnik Falcon. Aktualizacje plików kanałów są normalną częścią działania czujnika i pojawiają się kilka razy dziennie w odpowiedzi na nowe taktyki, techniki i procedury wykryte przez CrowdStrike. Nie jest to nowy proces; architektura istnieje od momentu powstania Falcona.

CrowdStrike wyjaśnił, że plik nie jest sterownikiem jądra, ale jest odpowiedzialny za „sposób, w jaki Falcon ocenia wykonanie nazwanego potoku 1 w systemach Windows”. Badacz bezpieczeństwa i założyciel Objective See Patrick Wardle twierdzi, że wyjaśnienie jest zgodne z wcześniejszą analizą przyczyny awarii, którą on i inni przekazali, ponieważ plik problemu „C-00000291- „wywołał błąd logiczny, który spowodował awarię systemu operacyjnego” ( za pośrednictwem CSAgent.sys).”

Inne fragmenty bloga CrowdStrike wyjaśniają więcej, co poszło nie tak: W piętek 19 lipca 2024 roku o godzinie 04:09 UTC w ramach bieżących działań firma CrowdStrike udostępniła aktualizację konfiguracji sensorów dla systemów Windows. Aktualizacje konfiguracji czujników są stałą częścią mechanizmów ochronnych platformy Falcon. Ta aktualizacja konfiguracji spowodowała błąd logiczny powodujący awarię systemu i pojawienie się niebieskiego ekranu (BSOD) w systemach, których dotyczy problem.

Które systemy zostały dotknięte i kiedy: Systemy z czujnikiem Falcon dla systemu Windows 7.11 i nowszych, które pobrały zaktualizowaną konfigurację od 04:09 UTC do 05:27 UTC – były podatne na awarię systemu.

Wardle zauważył, że aktualizacje plików kanałów CrowdStrike były przesyłane na komputery niezależnie od ustawień mających zapobiegać takim automatycznym aktualizacjom.

➔ Obserwuj nas w Google News, aby być na bieżąco!

źródło: The Verge