Cuma günü yaşanan küresel BT kesintisi, CrowdStrike platformunda
Windows mantık hatasına neden olan bir güncellemeden kaynaklandı.
Sorunun azınlığı kapsadığını iddia ettiler
Microsoft’a göre CrowdStrike’ın hatalı güncellemesi Cuma günü 8.5 milyon
Windows cihazını etkileyen dünya çapında bir teknoloji felaketine neden oldu. Microsoft bunun “tüm Windows makinelerinin yüzde birinden daha azı” olduğunu söylüyor, ancak perakendeciler, bankalar, havayolları ve diğer birçok sektörün yanı sıra bunlara güvenen herkes için sorun yaratmaya yetti.
CrowdStrike açıklamasını detaylandırdı
CrowdStrike’ın Cuma günü yayınladığı teknik döküm, neler olduğu ve neden bu kadar çok sistemin aynı anda etkilendiği hakkında daha fazla bilgi veriyor.
CrowdStrike’ın dökümü, sorunun merkezinde yer alan yapılandırma dosyasını açıklıyor:
Yukarıda bahsedilen yapılandırma dosyaları “Kanal Dosyaları” olarak adlandırılır ve Falcon sensörü tarafından kullanılan davranışsal koruma mekanizmalarının bir parçasıdır. Kanal Dosyalarındaki güncellemeler sensörün çalışmasının normal bir parçasıdır ve CrowdStrike tarafından keşfedilen yeni taktikler, teknikler ve prosedürlere yanıt olarak günde birkaç kez gerçekleşir. Bu yeni bir süreç değildir; mimari Falcon’un başlangıcından beri yürürlüktedir.
CrowdStrike ve Microsoft: Küresel BT kesintisiyle ilgili en son haberler
CrowdStrike, dosyanın bir çekirdek sürücüsü olmadığını ancak “Falcon’un Windows sistemlerinde pipe1 adlı yürütmeyi nasıl değerlendirdiğinden” sorumlu olduğunu açıkladı. Güvenlik araştırmacısı ve Objective See kurucusu Patrick Wardle, açıklamanın kendisinin ve diğerlerinin çökmenin nedeni hakkında daha önce yaptıkları analizle uyumlu olduğunu, çünkü sorunlu dosyanın “C-00000291- ‘işletim sisteminin çökmesine neden olan bir mantık hatasını tetiklediğini’ (CSAgent.sys aracılığıyla) söylüyor.”
I don't do Windows but here are some (initial) details about why the CrowdStrike's CSAgent.sys crashed
Faulting inst: mov r9d, [r8]
R8: unmapped address
…taken from an array of pointers (held in RAX), index RDX (0x14 * 0x8) holds the invalid memory address
@_JohnHammond pic.twitter.com/oqlAVwSlJj
— Patrick Wardle (@patrickwardle)
July 19, 2024
CrowdStrike’ın blogundaki diğer alıntılar neyin yanlış gittiği hakkında daha fazla bilgi vermekte:
199 Temmuz 2024 tarihinde, devam eden operasyonların bir parçası olarak CrowdStrike,
Windows sistemleri için bir sensör yapılandırma güncellemesi yayınladı. Sensör yapılandırma güncellemeleri, Falcon platformunun koruma mekanizmalarının devam eden bir parçasıdır. Bu yapılandırma güncellemesi, etkilenen sistemlerde sistem çökmesine ve mavi ekrana (BSOD) neden olan bir mantık hatasını tetikledi.
Ve hangi sistemler ne zaman etkilendi:
Güncellenmiş yapılandırmayı indiren
Windows 7.11 ve üzeri için Falcon sensörünü çalıştıran sistemler bir sistem çökmesine maruz kaldı.
Wardle, CrowdStrike’ın kanal dosyası güncellemelerinin, bu tür otomatik güncellemeleri önlemeye yönelik herhangi bir ayara bakılmaksızın bilgisayarlara itildiğini belirtti.
As CrowdStrike continues to work with customers and partners to resolve this incident, our team has written a technical overview of today’s events. We will continue to update our findings as the investigation progresses.
https://t.co/xIDlV7yKVh
— George Kurtz (@George_Kurtz)
July 20, 2024
Okumaya devam et...
