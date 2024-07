Η ελαττωματική ενημέρωση του CrowdStrike προκάλεσε μια παγκόσμια τεχνολογική καταστροφή που επηρέασε 8,5 εκατομμύρια συσκευές Windows την Παρασκευή, σύμφωνα με τη Microsoft . Η Microsoft λέει ότι αυτό είναι “λιγότερο από το ένα τοις εκατό όλων των μηχανημάτων Windows”, αλλά ήταν αρκετό για να δημιουργήσει προβλήματα στους λιανοπωλητές, τις τράπεζες, τις αεροπορικές εταιρείες και πολλούς άλλους κλάδους, καθώς και σε όλους όσους βασίζονται σε αυτές.

Ξεχωριστά, η τεχνική ανάλυση από το CrowdStrike που κυκλοφόρησε την Παρασκευή εξηγεί περισσότερα για το τι συνέβη και γιατί επηρεάστηκαν τόσα πολλά συστήματα ταυτόχρονα.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Η ανάλυση του CrowdStrike εξηγεί

Τι ακριβώς συνέβη με το αρχείο διαμόρφωσης που ήταν στο επίκεντρο του ζητήματος:

Τα αρχεία διαμόρφωσης αποτελούν μέρος των μηχανισμών προστασίας συμπεριφοράς που χρησιμοποιούνται από τον αισθητήρα Falcon. Οι ενημερώσεις στα Αρχεία αυτά αποτελούν κανονικό μέρος της λειτουργίας του αισθητήρα και πραγματοποιούνται πολλές φορές την ημέρα ως απόκριση σε νέες τακτικές, τεχνικές και διαδικασίες που ανακαλύφθηκαν από το CrowdStrike. Αυτή δεν είναι μια νέα διαδικασία. η αρχιτεκτονική υφίσταται από την ίδρυση του Falcon.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Η εταιρία CrowdStrike εξήγησε ότι το αρχείο δεν είναι πρόγραμμα οδήγησης πυρήνα, αλλά είναι υπεύθυνο για το «πώς η Falcon αξιολογεί την εκτέλεση του σε συστήματα Windows». Ο ερευνητής ασφαλείας και ιδρυτής του Objective See, Patrick Wardle, λέει ότι η εξήγηση ευθυγραμμίζεται με την προηγούμενη ανάλυση που παρείχαν ο ίδιος και άλλοι σχετικά με την αιτία της συντριβής των συστημάτων πληροφορικής, καθώς το αρχείο προβλήματος προκάλεσε ένα λογικό σφάλμα που είχε ως αποτέλεσμα τη συντριβή όλου του λειτουργικού συστήματος”.

I don’t do Windows but here are some (initial) details about why the CrowdStrike’s CSAgent.sys crashed

Faulting inst: mov r9d, [r8]

R8: unmapped address

…taken from an array of pointers (held in RAX), index RDX (0x14 * 0x8) holds the invalid memory address@_JohnHammond pic.twitter.com/oqlAVwSlJj

— Patrick Wardle (@patrickwardle) July 19, 2024