CrowdStrike confirme qu’un bug non détecté dans la mise à jour du capteur Falcon a provoqué le crash de Windows

MADRID, 24 juillet (Portaltic/EP) –

La mise à jour défectueuse de CrowdStrike qui a affecté les ordinateurs Windows du monde entier vendredi dernier était due à une erreur non détectée, comme l’a partagé la société de sécurité dans les résultats préliminaires de son enquête.

Un échec dans la mise à jour Falcon a désactivé vendredi les ordinateurs équipés du système Microsoft dans les entreprises de tous les secteurs du monde, ce qui a provoqué l’affichage de ce que l’on appelle « l’écran bleu de la mort ».

Dans un premier temps, le PDG de CrowdStrike a confirmé que la cause était une erreur enregistrée dans une mise à jour de sa plateforme et qu’il ne s’agissait pas « d’un incident de sécurité ou d’une cyberattaque ».

Désormais, l’entreprise a partagé le résultats préliminaires de leur examen post-incident, qui indique que la panne du système Windows “impliquait une mise à jour du contenu à réponse rapide avec une erreur non détectée”.

La mise à jour de contenu à réponse rapide est conçue pour répondre rapidement à l’évolution du paysage des menaces et est fournie sous la forme d’une mise à jour de configuration de contenu, qui fait partie de la plateforme cloud Falcon, qui crée des instances de modèle. Ceux-ci confèrent au capteur de nouvelles capacités afin qu’il soit capable de détecter et d’analyser les comportements en temps réel.

Ces instances sont implémentées via ce que l’on appelle des fichiers de canal, qui sont écrits sur le disque « hôte ». Ensuite, l’interpréteur de contenu – composant du capteur – lit le fichier et l’interprète afin que le capteur puisse agir sur l’activité malveillante, selon la configuration de la politique du client, qui dans ce cas est Microsoft.

CrowdStrike affirme que « les types de modèles récemment publiés sont testés sous de nombreux aspects, tels que l’utilisation des ressources, l’impact sur les performances du système et le volume des événements ».

Dans son calendrier, deux instances de modèle supplémentaires ont été déployées le 19 juillet par rapport à l’instance de modèle lancée le 5 mars après avoir réussi les tests de résistance. Cependant, vendredi, “en raison d’un bug dans le validateur de contenu, l’une des deux instances de modèle a réussi la validation malgré le fait qu’elle contenait des données de contenu problématiques”, comme l’explique la société de sécurité.

“Lorsqu’il a été reçu par le capteur et chargé dans l’interpréteur de contenu, le contenu problématique dans le fichier de canal 291 a provoqué une lecture de mémoire hors limites qui a déclenché une exception. Cette exception inattendue n’a pas pu être gérée correctement, provoquant un crash du système d’exploitation Windows. système”, concluent-ils dans les résultats préliminaires.