TECH HÍREK – A Crowdstrike valószínűleg soha nem fog kikászálódni ebből a gödörből, ahová jutott, mert egy ártatlannak indult frissítés világszerte nagy leállásokat okozott több ipari területen is.
A Microsoft szerint a Windowson futó készülékek mindössze 1%-a volt érintett a bugban. Ez akkor is 8,5 millió gép, ami nem kevés sysopnak, rendszeradminnak okozhatott néhány (?) kellemetlen órát (napot?), A redmondi techóriás több száz mérnököt és szakértőt küldött ki a partnereihez, hogy segítsenek helyreállítani a rendszereket és szolgáltatásokat, írja a The Verge. A Microsoft a Crowdstrike-kal közösen is dolgozik egy megoldáson. De mi okozta mindezt?
A hiba középpontjában egy konfigurációs fájl volt a Crowdstrike Falcon platformjának frissítésében. Ez egy logikai hibát indított, ami cserébe a Falcont futtató PC-ken véget nem érő kékhalálos hibát eredményezett. Ezt a cég egy frissítésben kijavította, a Microsoft pedig egy egyedi helyreállító eszközzel jelentkezett, amivel el lehet távolítani a hibás frissítést. Az eredeti update célja az volt, hogy a kibertámadásokban gyakran használt C2-es frameworkökben a kártékony, újonnan megfigyelt „csöveket” célba vegyék. Ehelyett az egész infrastruktúra elhasalt. A Microsoft eszközének kiadása előtt az adminoknak rebootolnia kellett az érintett készülékeket, hogy csökkentett módban vagy a helyreálllító opcióban eltávolítsák kézileg a hibás fájlt.
Jogosan lehet feltenni a kérdést, hogy miképp tudott egy ilyen frissítés a fontosabb rendszerekre is eljutni. David W Plummer, egy ex-Microsoft-mérnök kifejtette, hogy az ő idejében mennyire másképp futottak a debugging, ellenőrző folyamatok. A mostani hibát egy Crowdstrike-driver okozta, ami túljutott a WHQL-teszteken, de még mindig ott volt benne a lehetőség, hogy letöltsön és végrehajtson olyan kódokat, amiket a Microsoft nem hitelesített. Szóval egy külsős driver haza tudta vágni a teljes rendszereket.
How we did this in the old days:
When I was on Windows, this was the type of thing that greeted you every morning. Every. Single. Morning.You see, we all had a secondary „debug” PC, and each night we’d run NTStress on all of them, and all the lab machines. NTStress would… pic.twitter.com/rZkvpujbcr
— Dave W Plummer (@davepl1968) July 20, 2024
Kiderült, hogy a Crowdstrike hibázó Falconja a Linuxot is érintette, sőt, volt már egy hiba június közepén is. A RedHat azonosította, hogy a Crowdstrike szoftvere okozta a „kernelpánikot” (ami a Windowsos kékhalálos hiba Linux-megfelelője), és a The Register szerint a régebbi Falcon-frissítések hasonlóan bántak a Debiannal és a RockyLinux-szal.
Forrás: PCGamer,