Am 19. Juli konnten weltweit Millionen von Windows-Systemen in Fluggesellschaften, Krankenhäusern, Behörden und anderen Organisationen plötzlich nicht mehr starten. Die Cybersicherheitsfirma Crowdstrike, die für diesen Vorfall verantwortlich war, hat nun eine detaillierte Ursachenanalyse (PDF) veröffentlicht. Diese ergänzt die Angaben, die bereits am 24. Juli gemacht wurden.
Crowdstrike erklärt, dass die Ausfälle durch ein Konfigurationsupdate für die Software Falcon Sensor ausgelöst wurden. Die folgenden Abstürze wurden durch einen Fehler in der neuen Version des IPC-Templates verursacht. Laut Crowdstrike waren etwa 99 Prozent der betroffenen Windows-Systeme bis zum 29. Juli wieder online. Da die Anzahl der verbundenen Systeme wöchentlich um etwa ein Prozent schwankt, ist anzunehmen, dass mittlerweile fast alle Systeme wieder einsatzbereit sind.
CrowdStrike verwendet in seinen Falcon-Sensoren künstliche Intelligenz und maschinelles Lernen, um Bedrohungen zu erkennen und zu bekämpfen. Diese Sensoren analysieren kontinuierlich Aktivitäten und Verhaltensmuster, um Angriffsindikatoren zu identifizieren. Die neue Sensorversion 7.11, die im Februar 2024 eingeführt wurde, beinhaltete ein aktualisiertes Template, das speziell für die Überwachung und Erkennung von Angriffen auf benannte Pipes und andere Windows-Kommunikationsmechanismen entwickelt wurde.
Der Fehler entstand, weil das neue IPC-Template 21 Eingabefelder erwartete, während die Sensorschnittstelle nur 20 Eingabewerte lieferte. Diese Diskrepanz blieb während der Tests unbemerkt, da bis zum 19. Juli nur Vorlagen verwendet wurden, die keine spezifischen Kriterien für das 21. Feld benötigten. Als jedoch neue Vorlagen eingeführt wurden, die das 21. Eingabefeld abfragten, führte dies zu einem Speicherüberlauf, der schließlich die Systemabstürze verursachte.
CrowdStrike hat eigenen Angaben nach mehrere Maßnahmen ergriffen, um solche Fehler in Zukunft zu verhindern. Dazu gehören die Validierung der Anzahl der Eingabefelder zur Kompilierzeit, das Hinzufügen von Laufzeitprüfungen für Eingabefelder und die Erweiterung der Testabdeckung für verschiedene Abgleichskriterien. Zudem wurde der Prozess zur Erstellung und Validierung von Inhaltsvorlagen überarbeitet, um sicherzustellen, dass alle Felder korrekt getestet werden.
Zusätzlich hat CrowdStrike unabhängige Drittanbieter beauftragt, die Qualität und Sicherheit des Falcon-Sensors weiter zu überprüfen. Diese umfassenden Maßnahmen sollen sicherstellen, dass die Falcon-Plattform in Zukunft noch widerstandsfähiger und zuverlässiger wird.