Caso CrowdStrike: l'azienda di sicurezza informatica spiega cosa è successo

La società di sicurezza informatica CrowdStrike ha oggi pubblicato il sui post incident review (PIR) riguardante l’aggiornamento che pochi giorni fa ha mandato in tilt ben 8,5 milioni di macchine Windows, creando disagi in ospedali, aeroporti e non solo.

Nel dettagliato post (che può essere letto qui), la società parla di un bug nel software che effettua i test prima della distribuzione di un aggiornamento. Dopo quanto accaduto, e i danni procurati, l’azienda di Austin garantisce che da questo momento in poi effettuerà test ancora più rigorosi dei suoi aggiornamenti, migliorerà la gestione degli errori e adotterà una distribuzione a scaglioni per evitare che si verifichi un nuovo disastro.

CrowdStrike ha messo fuori uso oltre 8 milioni di macchine Windows: cosa è successo

Falcon, il software proprietario di CrowdStrike, viene utilizzato da aziende di tutto il mondo per la gestione dei malware e delle violazioni di sicurezza sulle macchine Windows. L’aggiornamento rilasciato venerdì 19 luglio aveva il compito di “raccogliere dati di telemetria su possibili nuove tecniche di minaccia”, ma – come è ormai ben noto – ha fatto tutt’altro.

Per CrowdStrike la prassi è rilasciare due aggiornamenti di configurazione in due modalità diverse. La prima (Sensor Content) aggiorna direttamente il sensore Falcon che funziona a livello di kernel in Windows, la seconda invece (Rapid Response Content) aggiorna il modo in cui quel sensore rileva i malware. Ebbene, un piccolo file da 40KB di questa seconda modalità ha causato il problema.

CrowdStrike la scorsa settimana ha rilasciato due aggiornamenti Rapid Response Content, chiamati anche Template Instances. «A causa di un bug nel Content Validator, uno dei due Template ha superato la convalida nonostante contenesse dati problematici», spiega la società statunitense.

Visto il disastro di pochi giorni fa, CrowdStrike ha annunciato che aggiornerà il suo Content Validator basato sul cloud per un miglior controllo delle release di Rapid Response Content. Inoltre, da questo momento in poi gli aggiornamenti saranno distribuiti gradualmente.