Как сообщает компания Microsoft, неполадка в обновлении CrowdStrike вызвала мировую техническую катастрофу, затронув 8,5 миллионов устройств на Windows в пятницу. По словам Microsoft, это «менее одного процента всех устройств на Windows», но это было достаточно, чтобы создать проблемы для розничных предприятий, банков, авиакомпаний и многих других отраслей, а также для всех, кто зависит от них.
Сбой CrowdStrike объясняется конфигурационным файлом, который был в центре проблемы:
Конфигурационные файлы, упомянутые выше, называются «Файлами каналов» и являются частью механизмов поведенческой защиты, используемых сенсором Falcon. Обновления файлов каналов являются нормальной частью работы сенсора и происходят несколько раз в день в ответ на новые тактики, техники и процедуры, обнаруженные CrowdStrike. Этот процесс не новый; архитектура была введена с момента запуска Falcon.
CrowdStrike пояснил, что файл не является драйвером ядра, но отвечает за «оценку выполнения именованных каналов на Windows-системах Falcon». Исследователь в области безопасности и основатель Objective See Патрик Уордл отметил, что объяснение соответствует раннему анализу, предоставленному им и другими, о причине сбоя, поскольку проблемный файл «C-00000291-» вызвал логическую ошибку, приведшую к сбою операционной системы (через CSAgent.sys).
Другие отрывки из блога CrowdStrike поясняют дополнительные детали о том, что пошло не так:
19 июля 2024 года в 04:09 по UTC, в рамках текущих операций, CrowdStrike выпустила обновление конфигурации сенсора для Windows-систем. Обновления конфигурации сенсора являются постоянной частью механизмов защиты платформы Falcon. Это обновление конфигурации вызвало логическую ошибку, приводящую к сбою системы и синему экрану смерти (BSOD) на затронутых системах.
И какие системы были затронуты и когда:
Системы, работающие с сенсором Falcon для Windows 7.11 и выше, которые загрузили обновленную конфигурацию с 04:09 по 05:27 по UTC, были подвержены сбою системы.
Обновления файлов каналов CrowdStrike были отправлены на компьютеры независимо от любых настроек, предназначенных для предотвращения таких автоматических обновлений, заметил Уордл.
Источник: The Verge
