Un champ de saisie en trop à la base de la panne Crowdstrike
Moins d’un mois après la méga-panne, Crowdstrike fournit une analyse finale de ce qui n’a pas fonctionné le 19 juillet dernier. La cause n’est pas un bug, mais un template qui avait plus de champs que nécessaire.
La mise à jour de la configuration du contenu que la société a envoyée le 19 juillet pour le capteur Falcon sur Windows a provoqué la panne d’appareils et l’apparition d’un écran de plantage bleu. Cela a causé à son tour beaucoup de problèmes aux entreprises. La SNCB et plusieurs compagnies aériennes, entre autres, ont rencontré des difficultés. Dans le monde, 8,5 millions d’appareils ont été impactés, soit un pour cent des PC Windows.
Crowdstrike s’est excusée en long et en large et a remercié ses clients et partenaires pour le travail acharné qu’ils ont dû fournir pour remettre chaque appareil en état de marche. Parallèlement, l’entreprise sort un rapport détaillé dans lequel elle explique ce qui n’a pas fonctionné.
Précédemment, la firme faisait référence à un bug, mais il semble maintenant qu’il s’agisse d’une faute dans un template utilisé pour fournir de nouvelles informations au capteur Falcon. Le capteur s’attendait à 20 champs de saisie, alors que le template en contenait 21.
Cette incompatibilité provoqua ce qu’on appelle en jargon technique un ‘out-of-bound memory read’, provoquant le plantage du système. Crowdstrike affirme que c’est à la fois sa conclusion, ainsi que celle d’un tiers. Le problème n’est pas non plus exploitable par les cybercriminels.
Le template en question était relativement nouveau, mais fonctionnait correctement jusque là. Crowdstrike renvoie ici à une nouvelle possibilité de captage introduite en février, contenant une série de champs prédéfinis pour que le Rapid Response Content collecte des données.
Cette méthode avait été testée préventivement et avait fonctionné normalement. Le 5 mars, Crowdstrike a également effectué un test de résistance, suivi de trois mises à jour de Rapid Response qui n’ont posé aucun problème. Ce n’est que lors de la mise à jour de Rapid Response Content du 19 juillet que les choses ont mal tourné chez certains appareils Windows, car un champ en trop figurait dans la mise à jour.
La firme de sécurité affirme qu’une telle erreur ne peut plus se produire aujourd’hui, et qu’elle mettra à profit son expérience pour suivre de plus près ses systèmes et les actions entreprises. Désormais, le développement Template Type sera également testé en conséquence, alors que des tests automatisés seront prévus pour les Template Types existants. Enfin, deux acteurs tiers en sécurité logicielle seront également amenés à examiner en détail le code du Falcon Sensor, ainsi que le processus de mise en production.
Le rapport Root Cause Analysis complet de Crowdstrike se trouve ici.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici