Проблемное обновление CrowdStrike затронуло 8,5 миллионов устройств с Windows

Автор:

По данным Microsoft, проблемное обновление CrowdStrike затронуло 8,5 миллиона устройств, что составляет менее 1% от общего количества компьютеров под управлением Windows. Тем не менее этого оказалось достаточно, чтобы нарушить работу множества организаций, среди которых банки, авиакомпании, телекомпании, супермакеты и другие.

CrowdStrike признала проблему и опубликовала подробный технический отчет, объясняющий причины сбоя:

Конфигурационные файлы, упомянутые выше, именуются «Файлами каналов» и являются частью механизмов поведенческой защиты, используемых датчиком Falcon. Обновление файлов каналов является стандартной процедурой работы датчика и происходит несколько раз в день в ответ на новые тактики, методы и приёмы, обнаруженные CrowdStrike. Это не новый процесс — эта архитектура применяется с момента создания Falcon.

Отмечается, что обновлённый файл не является драйвером ядра, но отвечает за то, «как Falcon обрабатывает выполнение „named pipe1“ (именованного канала) в системах Windows».

По словам исследователя безопасности и основателя Objective See Патрик Уордл (Patrick Wardle), это объяснение согласуется с выводами, полученными в рамках ранее проведённых независимых расследования причин сбоя. Проблемный файл «C-00000291-» вызвал логическую ошибку, которая и привела к сбою в работе операционной системы.

Дополнительная информация из блога CrowdStrike:

19 июля 2024 года в 04:09 UTC, в рамках непрерывных процессов, выпустила обновление конфигурации датчиков для систем Windows. Обновление конфигурации датчиков является неотъемлемой частью защитных механизмов платформы Falcon. Это обновление конфигурации привело к логической ошибке, результатом которой стал сбой в работе системы и появление «синего экрана смерти» (BSOD) на затронутых компьютерах.

Компьютеры с датчиком Falcon версии 7.11 и выше для Windows, загрузившие обновленную конфигурацию в период с 04:09 UTC по 05:27 UTC, оказались затронуты сбоем в работе системы.