Wouter Hoeffnagel - 07 augustus 2024

CrowdStrike-storing veroorzaakt door sensor die niet voldoende input kreeg

De omvangrijke storing door een CrowdStrike-update is veroorzaakt door een sensor die meer input verwachtte dan het in de praktijk kreeg. Dit blijkt uit een root cause analysis die CrowdStrike heeft uitgevoerd.

CrowdStrike-storing veroorzaakt door sensor die niet voldoende input kreeg image

CrowdStrike meldt in februari een nieuwe versie van een bestaande sensor te hebben uitgerold naar zijn Falcon-beveiligingsplatform. Deze nieuwe versie omvat een IPC template type, die het mogelijk maakt inzichten met betrekking tot aanvallen die misbruik maken van bepaalde Windows-mechanismen. CrowdStrike wilde via deze vernieuwde sensor zogeheten Rapid Response Content-releases uitbrengen, waarmee het bedrijf snel inspeelt op nieuwe aanvalsmethoden.

Out-of-bounds memory read

De sensor verwachtte in de praktijk 20 inputs. In de uitgebrachte update waren echter 21 inputvelden aanwezig. Deze fout leidde tot een out-of-bounds memory read, wat een systeemcrash teweegbracht. In de praktijk crashten door deze fout miljoenen Windows-systemen wereldwijd waarop de CrowdStrike-update is geïnstalleerd. "Onze analyse, in combinatie met een third-party review, bevestigt dat deze bug niet uitgebuit kon worden door een kwaadwillende", meldt CrowdStrike.

CrowdStrike neemt diverse maatregelen om herhaling van het incident te voorkomen. Zo gaat het aanvullende testen uitrollen die worden uitgevoerd voordat een patch naar productie wordt gepusht. Daarnaast kondigt CrowdStrike aan Rapid Response Content-releases voortaan gefaseerd uit te rollen naar klanten. Dit moet de schade bij een eventuele storing beperken. De volledige root cause analysis is hier beschikbaar.

Gartner BW tm 02-11-2024 DIC Awards BW tm 21-10-2024
Dutch IT Security Day BN tm 15-10-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!