Błąd w procesie, który sprawdza poprawność aktualizacji konfiguracji zabezpieczeń spowodował globalną awarię systemu Windows – ustalił wstępnie CrowdStrike. Według szacunku Microsoftu, problem dotknął 8,5 mln urządzeń.

CrowdStrike podał, że nie zadziałał jak należy „Content Validator”, czyli system mający zapewnić, że nowe konfiguracje bezpieczeństwa nie spowodują awarii systemów IT.

„Z powodu błędu w narzędziu do sprawdzania treści jedna z [aktualizacji] przeszła weryfikację pomimo zawierania problematycznych danych” – przyznał CrowdStrike. Jednocześnie dostawca kontynuuje wewnętrzne dochodzenie, m.in. ustala, dlaczego walidacja przepuściła taki błąd.

Szczegóły wadliwej aktualizacji

CrowdStrike sprecyzował, że feralna aktualizacja obejmowała tzw. „treść szybkiego reagowania”, która jest wykorzystywana w ramach wykonywania „operacji dopasowywania wzorców behawioralnych” w celu udaremnienia przyszłych cyberataków. Miała na celu „zebranie danych telemetrycznych na temat możliwych nowych technik zagrożeń”. Takie aktualizacje są wykonywane regularnie według firmy.

Stwierdził, że „problematyczna zawartość” w pliku „skutkowała odczytem pamięci poza dopuszczalnym zakresem, powodując wyjątek”.

„Tego nieoczekiwanego wyjątku nie można było obsłużyć w bezpieczny sposób, co spowodowało awarię systemu operacyjnego Windows (BSOD)” – stwierdziła firma.

Będzie możliwość wyboru czasu upgrade’u

Wadliwa treść była przechowywana w zastrzeżonym pliku binarnym i „nie stanowiła kodu ani sterownika jądra” – poinformował dostawca.

Zapowiedział, że planuje ulepszyć testy pod kątem wdrożeń „treści szybkiego reagowania”. Planuje umożliwić wybór czasu i miejsca wdrażania tych aktualizacji.

„Zawiedliśmy ludzi, których zobowiązaliśmy się chronić. Powiedzieć, że jesteśmy zdruzgotani, to ogromne niedopowiedzenie” – napisał po awarii dyrektor ds. bezpieczeństwa CrowdStrike’a, Shawn Henry w poście na LinkedIn. „Dokładamy wszelkich starań, aby odzyskać wasze zaufanie” – zapewnił.