Збій CrowdStrike “поклав” 8,5 мільйонів пристроїв на Windows по всьому світу

П’ятничний глобальний збій в IT-сфері виник через оновлення конфігурації сенсора платформи CrowdStrike Falcon, яке спричинило логічну помилку в Windows. Про це пише The Verge.

Масштаб катастрофи

За даними Microsoft, через помилку в оновленні CrowdStrike вийшли з ладу 8,5 мільйонів пристроїв на Windows. Хоча це менше одного відсотка від загальної кількості пристроїв на Windows, але проблеми виникли в ритейлерів, банків, авіаліній та багатьох інших галузей, а також у людей, які залежать від їхніх послуг.

Що сталося

Окремо технічний звіт від CrowdStrike, випущений у п’ятницю, пояснює, що саме сталося і чому так багато систем були одночасно уражені.

Конфігураційні файли, які стали серцем проблеми, називаються “Channel Files” і є частиною механізмів захисту Falcon. Оновлення цих файлів є звичайною практикою і відбувається кілька разів на день у відповідь на нові тактики, техніки та процедури, які виявляє CrowdStrike. Цей процес не є новим; архітектура існує з моменту створення Falcon.

CrowdStrike пояснила, що файл не є драйвером ядра, але відповідає за “оцінку виконання named pipe1 на системах Windows”. Дослідник безпеки та засновник Objective See Патрік Вардл зазначив, що це пояснення збігається з попереднім аналізом, який він і інші надали щодо причини збою. Файл “C-00000291-” спричинив логічну помилку, яка призвела до збою ОС (через CSAgent.sys).

I don't do Windows but here are some (initial) details about why the CrowdStrike's CSAgent.sys crashed

Faulting inst: mov r9d, [r8]
R8: unmapped address

…taken from an array of pointers (held in RAX), index RDX (0x14 * 0x8) holds the invalid memory address@_JohnHammond pic.twitter.com/oqlAVwSlJj

— Patrick Wardle (@patrickwardle) July 19, 2024

Деталі помилки

У своєму блозі CrowdStrike розповіла більше про те, що пішло не так:

19 липня 2024 року о 04:09 UTC в рамках поточних операцій CrowdStrike випустила оновлення конфігурації сенсора для Windows-систем. Це оновлення конфігурації спричинило логічну помилку, яка призвела до збою системи та синього екрана смерті (BSOD) на уражених системах.

Які системи були уражені

Системи, які використовували сенсор Falcon для Windows 7.11 і вище та завантажили оновлену конфігурацію з 04:09 UTC до 05:27 UTC, були схильні до збою системи.

Вардл зазначив, що оновлення конфігураційних файлів CrowdStrike було впроваджено на комп’ютери незалежно від будь-яких налаштувань, які мали запобігти автоматичним оновленням.

As CrowdStrike continues to work with customers and partners to resolve this incident, our team has written a technical overview of today’s events. We will continue to update our findings as the investigation progresses. https://t.co/xIDlV7yKVh

— George Kurtz (@George_Kurtz) July 20, 2024