Компанія CrowdStrike опублікувала велике розслідування причин масштабного збою на комп’ютерах Windows, який стався два тижні тому в усьому світі. У звіті Root Cause Analysis на 12 сторінок деталізується та інформація, що раніше була опублікована в попередньому огляді після інциденту – Post Incident Review.

Як CrowdStrike пояснюють збій

Основною причиною збою стало оновлення, яке CrowdStrike випустила для своєї флагманської платформи Falcon, що функціонує як хмарний сервіс, призначеної для захисту бізнесу від кібератак і збоїв. 

Датчик CrowdStrike Falcon використовує штучний інтелект і машинне навчання для захисту систем клієнтів. У лютому 2024 року CrowdStrike представив нову функцію датчика, яка дозволяє виявити нові методи атак. 

Ця функція заздалегідь визначила набір полів для вмісту швидкого реагування для збору даних. Нову функцію розробили та протестували відповідно до стандартних процесів розробки програмного забезпечення.

Йдеться, що 5 березня після успішного стрес-тесту перший контент швидкого реагування для файлу каналу 291 випустили у виробництво в межах оновлення конфігурації контенту. 

А три додаткові оновлення розгорнули в період з 8 по 24 квітня. Вони працювали, як і очікувалося, кажуть у CrowdStrike.

19 липня 2024 року на певні хости Windows було доставлено оновлення вмісту швидкого реагування, яке розвинуло нову функцію, вперше випущену в лютому 2024 року. 

Датчик очікував 20 полів введення, тоді як оновлення надало 21. Невідповідність призвела до зчитування даних за межами пам'яті, що спричинило аварійне завершення роботи системи. 

У CrowdStrike стверджують, що цю помилку не можуть використати зловмисники.

Масштабний збій через оновлення вплинув на 8,5 млн комп’ютерів з Windows – це менше за 1% від усіх користувачів операційної системи. Через нього американські компанії зі списку Fortune 500 втратили $5,4 млрд. Це не стосується Microsoft, чиї системи зазнали широкомасштабних збоїв

Самі ж CrowdStrike втратила близько 22% ринкової вартості з моменту збою – до цього її вартість становила близько $83 млрд. Компанія неодноразово перепрошуваа за спричинення міжнародної технологічної кризи.

CrowdStrike обслуговує близько 538 компаній зі списку Fortune 1000 і працює по всьому світу. Така поширеність зробила наслідки її невдалого оновлення особливо серйозними, продемонструвавши, наскільки багато компаній залежать від однакових продуктів для підтримки роботи.