CrowdStrike ha pubblicato una Post Incident Review preliminare sull’incidente del 19 luglio che causato il crash di oltre 8,5 milioni di computer nel mondo e la visualizzazione del famigerato Blue Screen of Death (BSOD). Un’analisi più dettagliata sarà disponibile al termine dell’indagine. La software house ha usato termini meno tecnici per migliorare la leggibilità.
Perché era presente un bug in Falcon Sensor?
CrowdStrike aveva già spiegato che il crash dei sistemi Windows è stato causato da un aggiornamento di configurazione, in particolare dal file C-00000291*.sys
. La software house rilascia due tipi di update per Falcon Sensor denominati Sensor Content e Rapide Response Content. Il primo è incluso nel codice del software, quindi vengono effettuati test approfonditi prima della distribuzione.
Il secondo tipo di aggiornamento è simile alle firme degli antivirus. Viene distribuito più rapidamente per fronteggiare nuove minacce. Uno dei tre sistemi usati per la distribuzione (Content Configuration System) opera sul cloud e include il Content Validator. Gli altri due (Content Interpreter e Sensor Detection Engine) sono installati sul computer.
Il 19 luglio, a causa di un bug del Content Validator, l’update di configurazione è stato validato nonostante la presenza di dati errati. Il famigerato Channel File 291 ha quindi mandato in crash i computer, sui quali è apparso il BSOD.
CrowdStrike ha promesso di migliorare i test per gli aggiornamenti Rapid Response Content. Verrà anche migliorato il Content Validator. I clienti avranno infine un controllo maggiore sugli aggiornamenti Rapid Response Content e potranno decidere quando installarli (oggi sono installati automaticamente).
Aggiornamento (26/07/2024): il CEO George Kurtz ha comunicato che sono stati ripristinati il 97% dei computer Windows con Falcon Sensor.