CrowdStrike, яка спричинила збій на 8,5 млн ПК із Windows 19 липня 2024 року, описала всю ситуацію в деталях у своєму блозі. Збій стався через логічну помилку в оновленні конфігурації датчиків для систем Windows, які використовують платформу захисту Falcon.

Системи з Falcon Sensor для Windows 7.11 і вище, які завантажили оновлену конфігурацію з 04:09 UTC до 05:27 UTC, "були схильні до збою системи".

Ці конфігураційні файли називаються "Файлами каналів" і є частиною механізмів поведінкового захисту, які використовуються датчиком Falcon. Оновлення файлів каналів є нормальною частиною роботи датчика і відбувається кілька разів на день у відповідь на нові тактики, методи та процедури, виявлені CrowdStrike.

У системах Windows файли каналів знаходяться за наступним шляхом:

C:\Windows\System32\drivers\CrowdStrike\

Ці файли мають ім'я, яке починається з "C-". Кожному файлу каналу присвоєно номер як унікальний ідентифікатор. Файл каналу, на який було здійснено вплив у цій події, має номер 291 та ім'я файлу, що починається з "C-00000291-" і закінчується розширенням .sys.

Файл каналу 291 керує тим, як Falcon оцінює виконання іменованого каналу pipe1 у системах Windows. Іменовані канали використовуються для звичайного, міжпроцесного або міжсистемного зв'язку у Windows.

Оновлення, яке спричинило проблему, було спрямоване на нещодавно виявлені зловмисні іменовані канали, які використовуються поширеними фреймворками C2 в кібератаках.

CrowdStrike виправила логічну помилку, оновивши вміст у файлі каналу 291. Жодних додаткових змін у файлі каналу 291, окрім оновленої логіки, не буде внесено. Це не пов'язано з нульовими байтами, які містяться у канальному файлі 291 або будь-якому іншому канальному файлі.

Компанія пише, що системи під управлінням Linux та macOS не використовують файл каналу 291 і не зазнали впливу. Проте The Register додає "цього разу".

У червні компанія Red Hat (розробник дистрибутиву Fedora) попередила своїх клієнтів про "Kernel panic після завантаження 5.14.0-427.13.1.el9_4.x86_64 процесом falcon-sensor", яка вплинула на деяких користувачів Red Hat Enterprise Linux 9.4.

В іншому повідомленні про помилку "System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9" користувачам рекомендувалося "звернутися за допомогою з модулем ядра falcon_lsm_serviceable, що постачається з програмного забезпечення CrowdStrike Falcon Sensor/Agent для забезпечення безпеки".

Red Hat також порадила, що "відключення програмного забезпечення CrowdStrike Falcon Sensor/Agent ... зменшить кількість збоїв і забезпечить тимчасову стабільність системи".

Паніки ядра Linux і "сині екрани смерті" Windows загалом можна порівняти. Виникнення паніки ядра всього за кілька тижнів до того, як CrowdStrike зламав багато реалізацій Windows, натякає, що проблема не просто в одному невдалому оновленні.