L’update problematico di CrowdStrike che ha causato il crash di 8,5 milioni di dispositivi Windows
Il disastro mondiale causato dall’aggiornamento difettoso di CrowdStrike
L’aggiornamento difettoso di CrowdStrike ha generato un disastro tecnologico su vasta scala, coinvolgendo ben 8,5 milioni di dispositivi Windows, come riportato da Microsoft.
Sebbene rappresenti “meno dell’uno percento di tutte le macchine Windows”, ha comunque provocato seri problemi a numerosi settori, tra cui rivenditori, banche e compagnie aeree.
Anche singoli utenti hanno subito disagi a causa di questa criticità.
Il file di configurazione al centro del problema
Secondo il report tecnico di CrowdStrike, il file di configurazione responsabile del caos è conosciuto come Channel files.
Questi file sono essenziali per i meccanismi di protezione comportamentale del sensore Falcon e vengono regolarmente aggiornati per adattarsi a nuove minacce.
Non si tratta di una novità, ma di una pratica consolidata nel sistema Falcon.
CrowdStrike ha specificato che tale file non è un driver del kernel, bensì gestisce l’esecuzione di named pipe nei sistemi Windows.
Il fondatore di Objective See, Patrick Wardle, conferma che l’errore logico innescato da questo file problematico ha portato al crash del sistema operativo, come già ipotizzato in precedenza.
Segue nel blog di CrowdStrike la spiegazione dell’evento:
Il 19 luglio 2024 alle 04:09 UTC, l’azienda ha rilasciato un aggiornamento della configurazione del sensore, il quale ha provocato il crash dei sistemi interessati.
Questo aggiornamento ha attivato un bug critico che ha causato il temuto schermo blu della morte (BSOD) su numerose macchine.
Infine, la portata dell’incidente ha interessato i sistemi Windows 7.11 e successivi che avevano scaricato la configurazione aggiornata specifica nell’intervallo temporale tra le 04:09 UTC e le 05:27 UTC.
È stato osservato che gli aggiornamenti dei file di CrowdStrike venivano comunque inviati ai computer nonostante eventuali impostazioni di blocco imposte dagli utenti, come segnalato da Wardle.