Crowdstrike BSOD

I fredags så skickade det amerikanska cybersäkerhetsföretaget Crowdstrike ut en felaktig uppdatering till produkten Falcon Sensor som gjorde att cirka 8.5 miljoner Windows-datorer runt om i världen krashade och visade ”blue screen of death”, BSOD. Falcon Sensor är en Endpoint detection and response (EDR) mjukvara som bl.a. kan upptäcka cyberhot.

Men varför inträffade denna krash och hur kunde den få så stort genomslag? Det beror på ett antal olika faktorer. Crowdstrike har valt att implementera stora delar av sin mjukvara i Windows-kärnan, vilket får till följd att eventuella programmeringsfel får större konsekvenser. Dock så vinner man prestanda och kan göra saker som ej är möjligt från user-mode. Crowdstrike har gått ut med ett blogginlägg med mer information och skriver att det rör sig om en logisk brist gällande hanteringen av named pipes. Man skriver också på sin blogg att det de filer som innehåller den felaktiga uppdateringen “C-00000291-” ej är kernelkod, även om dom har filändelsen .sys. Dock är det oklart i dagsläget exakt hur uppdateringen leder till BSOD, på X så visar en stacktrace att minne från adressen 0x000000000000009c läses. Vilket gör att krashen inträffar.

Som oftast när det gäller uppdateringen till cybersäkerhetsprodukter så vill majoriteten genomföra detta ofta och automatiskt. Men om då leverantören klantar sig så kan detta få stora konsekvenser, såsom när McAfee år 2010 skickade ut en felaktig uppdatering som flaggade en Windows-fil som skadlig.

För att förhindra detta i framtiden så se till att Er miljö inte är homogen när det gäller exempelvis mjukvaror och operativsystem. Även om detta är en extra kostnad så är detta inte första och sista gången som en stor incident såsom denna kommer att inträffa.

Leverantören kan förbättra sitt QA-arbete och bl.a använda sig av Canary Deployment, läs mer om det här: semaphoreci.com/blog/what-is-canary-deployment

Ett annat sätt att förhindra sådant i framtiden är att inte ligga i yttersta framkant när det gäller uppdateringar. Se följande när det gäller att ligga på N-1 exempelvis:

Video från twitter hur du kan fixa BSOD. Obs, svårare om du använder bitlocker:

How to fix your computer if you are affected by the crowdstrike crash pic.twitter.com/a9fEOzthad

— timshady (@timshadyeth) July 19, 2024