CrowdStrike: BSOD на миллионах ПК с Windows произошёл из-за неправильной проверки файла с помощью тестового ПО компании

24 июля 2024 года CrowdStrike сообщила, что глобальный сбой с BSOD на более чем 8,5 млн ПК с Windows произошёл из-за логической ошибки в коде в файле размером 40,04 КБ с обновлением для ИБ-сенсора Falcon, которую с помощью тестового ПО внутри компании обнаружить не удалось.

Фактически текущие тестовые инструменты CrowdStrike не позволяли должным образом проверять код в обновлении контента для сенсоров, который был распространён на миллионы компьютеров по всему миру. CrowdStrike пообещала более тщательно тестировать обновления, улучшить обработку ошибок в коде и реализовать поэтапное развёртывание патчей, чтобы избежать повторения этой IT-катастрофы.

В CrowdStrike пояснили, что выпустили некорректное обновление конфигурации контента для своего программного обеспечения ИБ-сенсоров Falcon, которое должно было «собирать телеметрию о возможных новых методах угроз». Эти обновления доставляются регулярно, но именно это обновление конфигурации привело к сбою Windows.

CrowdStrike обычно выпускает обновления конфигурации Falcon двумя разными способами. Первый способ работает с помощью механизма Sensor Content, который напрямую обновляет контент для Falcon на ПК клиентов и работает на уровне ядра в Windows.

Второй способ заключается в использовании механизма Rapid Response Content, который оперативно обновляет сигнатуры для сенсора Falcon при обнаружении вредоносного ПО. Именно файл с содержимым Rapid Response Content размером 40,04 КБ стал причиной IT-коллапса.

Числа в сбое из-за ошибки в ПО CrowdStrike: 78 минут (19 июля в 12:09 AM ET старт, спустя 1 час и 18 минут разработчики убрали доступ к этому обновлению, но было поздно) в интернете с серверов CrowdStrike распространялся некорректный файл размером 40,04 КБ для ИБ-инструмента