Компанія Microsoft повідомила, що несправне оновлення CrowdStrike спричинило глобальну технічну катастрофу, яка зачепила 8,5 мільйонів пристроїв на базі Windows. Притому Microsoft стверджує, що було виведено з ладу «менше одного відсотка всіх комп'ютерів з Windows», але цього було достатньо, щоб створити проблеми для роздрібної торгівлі, банків, авіакомпаній та багатьох інших галузей, а також для всіх, хто від них залежить.
В технічному звіті від CrowdStrike пояснюється, що сталося і чому так багато систем постраждали одночасно. В основі проблеми був конфігураційний файл. Такі файли конфігурації називаються «Файлами каналів» і є частиною механізмів поведінкового захисту, що використовуються сенсором Falcon. Оновлення файлів каналів є нормальною частиною роботи датчика і відбувається кілька разів на день у відповідь на нові тактики, методи і процедури, виявлені CrowdStrike. Притому це не новий процес, адже така архітектура існує з моменту створення Falcon.
Представники CrowdStrike пояснили, що цей файл не є драйвером ядра, але відповідає за те, «як Falcon оцінює виконання так званого pipe1 в системах Windows». Дослідник безпеки і засновник Objective See Патрік Уордл (Patrick Wardle) каже, що це пояснення збігається з попереднім аналізом причини збою, який він та інші провели раніше, оскільки проблемний файл «C-00000291- “спровокував логічну помилку, яка призвела до збою ОС” (через CSAgent.sys)».
Отже, 19 липня 2024 року о 04:09 UTC, в рамках поточних операцій, CrowdStrike випустив оновлення конфігурації сенсорів для систем Windows. Таке оновлення є постійною частиною механізмів захисту платформи Falcon. Саме це оновлення конфігурації спричинило логічну помилку, що призвела до аварійного завершення роботи системи та появи синього екрану (BSOD) на постраждалих системах.
Загалом постраждала більшість систем з датчиком Falcon для Windows 7.11 і вище, які завантажили оновлену конфігурацію в період з 04:09 UTC до 05:27 UTC (час на Гринвіцькому меридіані). Оновлення файлів каналів CrowdStrike надсилалися на комп'ютери незалежно від будь-яких налаштувань, призначених для запобігання таким автоматичним оновленням.
По матеріалам: The Verge
