Com os ânimos mais calmos, as culpas da falha informática global continuam a ser atribuídas. A CrowdStrike responsabiliza, agora, um bug no seu próprio software de teste.
Hoje, uma atualização do seu programa de recuperação adicionou uma Preliminary Post Incident Review (PIR) que oferece a visão da empresa sobre como “colapsaram” 8,5 milhões de computadores Windows.
A explicação começa por detalhar que o Falcon Sensor da CrowdStrike vem com um “Sensor Content” que define as suas capacidades. O software é atualizado com “Rapid Response Content” que lhe permite detetar e recolher informações sobre novas ameaças.
Esse “Sensor Content” baseia-se em “Template Types”, isto é, código que inclui campos predefinidos para os engenheiros de deteção de ameaças utilizarem no “Rapid Response Content”.
O “Rapid Response Content”, por sua vez, é fornecido como “Template Instances”, que a CrowdStrike descreve como “instâncias de um determinado tipo de modelo”. Cada uma destas instâncias de modelo mapeia comportamentos específicos para o software do “Sensor Content” observar, detetar ou impedir.
CrowdStrike detalha eventos que levaram à falha informática global
Em fevereiro de 2024, a CrowdStrike introduziu um novo “InterProcessCommunication (IPC) Template Type”, concebido para detetar “novas técnicas de ataque que abusam de Named Pipes”. Este “Template Type” passou nos testes a 5 de março, pelo que foi lançada uma “Template Instance” para o utilizar.
Mais três “Template Instance” IPC foram implementadas entre 8 e 24 de abril. Apesar de algumas máquinas Linux terem registado problemas com o CrowdStrike em abril, todas foram executadas sem “colapsar” milhões de PC Windows.
A 19 de julho, a CrowdStrike introduziu mais duas “Template Instance” IPC. Uma delas incluía “dados de conteúdo problemáticos”, mas avançou, ainda assim, com a CrowdStrike a descrevê-los como “um bug no Content Validator”.
Este bug no Content Validator não impediu o lançamento da “Template Instance” a 19 de julho, pois a CrowdStrike assumiu que os testes anteriores tinham concluído a viabilidade desse lançamento.
Esta assunção “resultou numa leitura de dados fora do padrão, desencadeando uma exceção”. Esta “exceção inesperada”, por sua vez, “não pôde ser tratada de forma adequada, resultando numa falha do sistema operativo Windows”.
De acordo com o The Register, o relatório da CrowdStrike sobre o incidente inclui promessas de testar o futuro “Rapid Response Content” de forma mais rigorosa, agendar os lançamentos, oferecer aos utilizadores mais controlo sobre quando implementá-los e fornecer guias de lançamento.
Além disso, o documento promete a divulgação de uma análise completa da causa específica do problema, assim que a CrowdStrike concluir a sua investigação.
Leia também: