O actualizare defectuoasă a sistemului CrowdStrike a provocat un adevărat dezastru tehnologic la nivel mondial, afectând 8,5 milioane de dispozitive Windows, potrivit unui comunicat oficial al Microsoft. Deși compania a subliniat că acest număr reprezintă „mai puțin de unu la sută din toate mașinile Windows”, impactul a fost semnificativ, generând perturbări pentru retaileri, bănci, companii aeriene și multe alte industrii care depind de aceste sisteme.
Vineri, CrowdStrike a publicat o analiză detaliată a defecțiunii tehnice care a dus la această criză, explicând cauza exactă și motivele pentru care atât de multe sisteme au fost afectate simultan.
Potrivit raportului, fișierul de configurare care a stat la baza problemei este denumit „Fișier de canal” și este parte integrantă a mecanismelor de protecție comportamentală utilizate de senzorul Falcon. Aceste actualizări ale fișierelor de canal sunt un proces obișnuit, având loc de mai multe ori pe zi pentru a răspunde tacticilor, tehnicilor și procedurilor noi identificate de CrowdStrike.
CrowdStrike a subliniat că fișierul în cauză nu este un driver de kernel, ci este responsabil pentru „modul în care Falcon evaluează execuția named pipe1 pe sistemele Windows”. Patrick Wardle, un cercetător de securitate și fondator al Objective See, a confirmat că această explicație se aliniază cu analizele anterioare, indicând că fișierul problematic „C-00000291-” a declanșat o eroare de logică care a condus la prăbușirea sistemului de operare prin intermediul CSAgent.sys.
Incidentul a început pe 19 iulie 2024, la 04:09 UTC, când CrowdStrike a lansat o actualizare de configurare a senzorilor pentru sistemele Windows. Actualizările configurației senzorilor fac parte din mecanismele de protecție continue ale platformei Falcon. Cu toate acestea, această actualizare specifică a declanșat o eroare de logică care a provocat blocarea sistemului și apariția unui ecran albastru (BSOD) pe sistemele afectate.
Sistemele care rulează senzorul Falcon pentru Windows 7.11 și versiuni ulterioare, care au descărcat configurația actualizată între 04:09 UTC și 05:27 UTC, au fost susceptibile la această blocare a sistemului.
Patrick Wardle a remarcat că actualizările fișierelor de canal ale CrowdStrike au fost trimise pe computere, indiferent de setările destinate să prevină astfel de actualizări automate. Această măsură a contribuit la răspândirea rapidă și extinderea impactului actualizării defectuoase.
Acest incident subliniază vulnerabilitatea infrastructurilor digitale globale și necesitatea unor măsuri de precauție mai stricte în gestionarea actualizărilor software. În timp ce CrowdStrike și Microsoft colaborează pentru a remedia problema, utilizatorii sunt sfătuiți să fie vigilenți și să monitorizeze orice actualizări viitoare cu atenție sporită.
