تقول Microsoft إن التحديث الخاطئ لـ CrowdStrike أدى إلى تعطل 8.5 مليون جهاز يعمل بنظام Windows
تسبب التحديث الخاطئ لبرنامج CrowdStrike في كارثة تكنولوجية عالمية أثرت على 8.5 مليون جهاز يعمل بنظام Windows يوم الجمعة، وفقًا لشركة Microsoft. وتقول ميكروسوفت إن هذا يمثل “أقل من واحد بالمائة من جميع أجهزة Windows”، ولكنه كان كافياً لخلق مشاكل لتجار التجزئة، والبنوك، وشركات الطيران، والعديد من الصناعات الأخرى، فضلاً عن كل من يعتمد عليها.
يوضح تفصيل CrowdStrike ملف التكوين الذي كان في قلب المشكلة:
يُشار إلى ملفات التكوين المذكورة أعلاه باسم “ملفات القناة” وهي جزء من آليات الحماية السلوكية التي يستخدمها مستشعر Falcon. تعد تحديثات ملفات القنوات جزءًا طبيعيًا من تشغيل المستشعر، ويتم إجراؤها عدة مرات يوميًا استجابةً للتكتيكات والتقنيات والإجراءات الجديدة التي اكتشفها CrowdStrike. هذه ليست عملية جديدة. لقد كانت الهندسة المعمارية موجودة منذ بداية Falcon.
أوضح CrowdStrike أن الملف ليس برنامج تشغيل kernel ولكنه مسؤول عن “كيفية تقييم Falcon لتنفيذ Pipe1 المسمى على أنظمة Windows.” يقول الباحث الأمني ومؤسس Objective See باتريك واردل إن التفسير يتوافق مع التحليل السابق الذي قدمه هو وآخرون حول سبب التعطل، حيث أن ملف المشكلة “C-00000291- “أدى إلى حدوث خطأ منطقي أدى إلى تعطل نظام التشغيل” ( عبر CSAgent.sys).”
تشرح مقتطفات أخرى من مدونة CrowdStrike المزيد حول الخطأ الذي حدث:
في 19 يوليو 2024، الساعة 04:09 بالتوقيت العالمي المنسق، وكجزء من العمليات الجارية، أصدرت CrowdStrike تحديثًا لتكوين المستشعر لأنظمة Windows. تعد تحديثات تكوين المستشعر جزءًا مستمرًا من آليات الحماية لمنصة Falcon. أدى تحديث التكوين هذا إلى حدوث خطأ منطقي أدى إلى تعطل النظام وظهور شاشة زرقاء (BSOD) على الأنظمة المتأثرة.
وما هي الأنظمة التي تأثرت ومتى:
الأنظمة التي تعمل بمستشعر Falcon لنظام التشغيل Windows 7.11 والإصدارات الأحدث والتي قامت بتنزيل التكوين المحدث من الساعة 04:09 بالتوقيت العالمي إلى الساعة 05:27 بالتوقيت العالمي – كانت عرضة لتعطل النظام.
وأشار واردل إلى أن تحديثات ملف قناة CrowdStrike تم دفعها إلى أجهزة الكمبيوتر بغض النظر عن أي إعدادات تهدف إلى منع مثل هذه التحديثات التلقائية.