CrowdStrike: “Globale panne veroorzaakt door foutieve testsoftware”
Crowdstrike maakt beveiligingssoftware voor Windows, op kernel-niveau, het centrale gedeelte van het besturingssysteem waar onder meer toezicht gehouden wordt over security. Vandaar de rampzalige gevolgen voor het besturingssysteem. “Door een bug in de Content Validator, is een van de twee recente updates gevalideerd, ondanks dat die problematische data bevatte”, zegt het bedrijf in post incident review (PIR).
Het gevolg was dus een globale panne met het ‘blue screen of death’ als pijnlijk symptoom. Dat zorgde voor grote hinder bij bedrijven, maar ook luchthavens en beurzen. Door het softwareprobleem in de kernel van Windows, kwamen de pc’s in een boot loop terecht, waardoor ze telkens opnieuw bleven opstarten, maar dus niet voorbij het blauwe scherm kwamen. Wat het nog erger maakte is dat een oplossing van op afstand niet mogelijk was en dat technici ter plekke de Windows-pc’s moesten herstellen.
CrowdStrike deed Windows tilt slaan
Om DDoS-aanvallen en andere beveiligingsrisico’s te vermijden, gebruikt Microsoft de Falcon Sensor, een tool van CrowdStrike. Die opereert op kernel-niveau, diep in het centrale gedeelte van Windows, en maakt gebruik van zogenaamde Sensor Content. Die definieert hoe het systeem op dreigingen moet reageren. Die gegevens zitten in een Template Type, dat voor het laatst op 5 maart een update kreeg.
Op 19 juli volgden twee nieuwe updates, met de gekende rampzalige gevolgen. Eentje daarvan was slechts 40 KB groot en raakte toch door het validatieproces, ondanks dat die volgens CrowdStrike “problematische data” bevatte. “Toen de sensor de update zag en die in de Content Interpreter had ingeladen, resulteerde dat in een ‘out-of-bounds’ lezen van het geheugen. Dat triggerde een uitzondering die er niet mocht zijn. Windows was niet in staat om daarmee om te gaan en sloeg tilt, met het ‘Blue Screen of Death’ als gevolg”, legt CrowdStrike uit aan Engadget.
Nieuwe crash voorkomen
CrowdStrike heeft intussen beloofd maatregelen te nemen om zulke catastrofale crashes te vermijden. Maar allereerst zou de Rapid Response-content grondiger getest worden, op content updates en rollbacks, maar ook stress- en stabiliteitstests. Verder wordt de validatie verbeterd en moet het systeem beter om kunnen met foutmeldingen.
Analisten en software-ingenieurs zeggen dat CrowdStrike meer had moeten doen om zulke rampzalige situaties te vermijden. “Ze hadden moeten weten dat deze updates geïnterpreteerd worden door de drivers en dat dit tot problemen zou kunnen leiden”, reageert ingenieur Florian Roth op X. “De updates hadden volgens een ‘Staggered Deployment’ moeten gebeuren.” Daarbij krijgen IT-admins meer opties voor het uitrollen van updates. Ze kunnen die dan naar een bepaald percentage gebruikers of apparaten versturen, om de uitrol geleidelijk aan op te voeren als alles veilig verloopt.
