CrowdStrike: 99% ПК клиентов на Windows снова в работе после IT-сбоя, проблема была в лишнем 21 поле в файле обновления

Глава CrowdStrike Джордж Куртц (бывший технический директор McAfee и автор книги Hacking Expeded) заявил, что на начало августа 99% ПК клиентов компании на Windows снова в работе после глобального IT-сбоя от 19 июля. Оказалось, что проблема была в лишнем 21-ом поле для ввода в файле обновления для ИБ-сенсора.

Сотрудники техподдержки по всему миру две недели продолжали исправлять BSOD в парках ПК на Windows из-за ошибки в ПО CrowdStrike. Им нужно было загрузить систему в Safe mode и выполнить некоторые команды или поработать с реестром. Если диск ПК защищён шифрованием BitLocker, то нужно было найти и ввести ключ восстановления BitLocker в каждой системе, а затем продолжить исправление обновления CrowdStrike, пока не заработают все компьютеры в организации. В большинстве организаций этот процесс занял до трёх суток, но в больших компаниях даже при мобилизации всего персонала команд техподдержки и системных администраторов решение этой проблемы может занять до недели или более из-за сложностей физического доступа к каждому ПК и удалённых месторасположений части филиалов.

В CrowdStrike признали, что IT-катастрофа произошла из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри CrowdStrike разработчики защитной системы обнаружить не смогли.

Оказалось, что программный датчик ПО CrowdStrike ожидал 20 полей ввода, в то время как обновление предоставило 21 поле ввода. В этом случае несоответствие привело к чтению памяти за пределами допустимого диапазона, что спровоцировало сбой в работе ИБ-системы и появление BSOD на миллионах ПК, серверов, киосков, видеоэкранах на Windows.

Числа в сбое из-за ошибки в ПО CrowdStrike: 78 минут (19 июля в 12:09 AM ET старт,