Microsoft сообщает, что ошибка CrowdStrike затронула 8,5 млн устройств, или «менее одного процента всех устройств Windows»

В минувшую пятницу из-за ошибки CrowdStrike накрылись системы Windows, что повлияло на сбои в полетах, больничных услугах, банковских операциях и многом другом по всему миру. Однако большинство из нас это не коснулось, поскольку, по данным Microsoft, жертвой этой ошибки стал только 1% устройств Windows.

Тем не менее, 8,5 миллионов устройств вызывали беспорядки во всем мире, и в результате Microsoft заявляет, что задействовала сотни инженеров и экспертов Microsoft для работы с клиентами над восстановлением их поврежденных сервисов. MS также напрямую взаимодействовала с CrowdStrike для работы над решением, при этом компания опубликовала собственное отдельное заявление относительно некоторых технических проблем, вызвавших событие.

В основе неисправности лежал файл конфигурации, содержащийся в обновлении для платформы Falcon от CrowdStrike, который вызвал логическую ошибку, которая, в свою очередь, вызвала циклический BSOD в системах Windows, на которых установлено программное обеспечение датчика Falcon.

Обновление было разработано, чтобы «нацелиться на недавно обнаруженные вредоносные именованные каналы, используемые распространенными платформами C2 в кибератаках», но вместо этого привело к зацикливанию некоторых очень важных инфраструктур, что привело к гигантскому эффекту домино.

С тех пор CrowdStrike исправила логическую ошибку в следующем обновлении, а Microsoft выпустила специальный инструмент восстановления для ее удаления. До выпуска инструмента администраторам необходимо было перезагрузить затронутые устройства Windows в безопасном режиме или среде восстановления и вручную удалить файл с ошибкой.

Тем не менее, были заданы вопросы о том, как такое обновление вообще было допущено в критически важные системы Windows в массовом порядке, что привело к катастрофе, которая может в конечном итоге стать одним из худших технологических сбоев всех времен. Бывший инженер Microsoft Дэвид Пламмер опубликовал в Твиттере сравнение того, как выполнялись процессы отладки Windows во время его работы в компании, и чем отличается это конкретное событие.

Проблема в данном случае заключается в том, что это событие было создано драйвером CrowdStrike, который прошел тестирование WHQL, но все же обладал возможностью загружать и выполнять p-код, который не был подписан Microsoft. По сути, сторонний драйвер, лежащий в основе системы, все равно может вывести ее из строя из-за сомнительного обновления, даже если процессы Microsoft для собственных обновлений прошли соответствующие уровни тестирования и сертификации. На данный момент проблема устранена, и, возможно, были извлечены некоторые уроки для сторонних обновлений в будущем.

Источник: PCGAMER