Aktualizace EDR CrowdStrike Falcon Agent způsobila celosvětový IT výpadek
Dne 19. července 2024 se objevil rozsáhlý výpadek, který postihl počítače se systémem Windows v mnoha odvětvích po celém světě od finančních institucí přes nemocnice až po letecké společnosti. Zdrojem tohoto výpadku byla aktualizace od společnosti CrowdStrike.
Dne 19. července 2024 se objevil rozsáhlý výpadek, který postihl počítače se systémem Windows v mnoha odvětvích po celém světě od finančních institucí přes nemocnice až po letecké společnosti. Zdrojem tohoto výpadku byla aktualizace od společnosti CrowdStrike.
"Společnost CrowdStrike aktivně spolupracuje se zákazníky, které ovlivnila chyba zjištěná v aktualizaci pro počítače se systémem Windows. Systémů Mac a Linux se to netýká. Nejedná se o bezpečnostní incident ani kybernetický útok." uvedl generální ředitel společnosti George Kurtz v vyjádření.
Za pádem systémů stojí logická chyba v aktualizaci pravidel pro detekci škodlivé aktivity. Tyto pravidla se nacházejí v adresáři C:\Windows\System32\drivers\CrowdStrike\ a jsou aktualizovány několikrát denně.
V čase 04:09 UTC začal být distribuován soubor `C-00000291` který obsahuje detekce na využívání tzv. named pipes. Chyba v tomto souboru způsobila pád systému.
Aktualizace, která způsobila pád systému, byla odstraněna v už v 05:27 UTC.
Stanice, které byly v provozu mezi 04:09 a 5:27 si stáhly aktualizaci s chybou a už nebylo možné aby si agent stáhl opravenou verzi souboru. Administrátoři systémů museli ručně provést aktualizaci.
Víme, jak k tomuto problému došlo, a provádíme důkladnou analýzu příčin. Uvedl ve svém vyjádření CloudStrike.