8 milyondan fazla Microsoft kullanıcısı 19 Temmuz'da bilgisayarlarının açılmadığını ve monitörlerin "mavi ekranını" gösterdiğini bildirmişti.
Kesinti, televizyon kanallarının devre dışı kalması, hava yolculuğunun aksaması ve hastanelerin randevuları iptal etmek zorunda kalmasıyla yaygın bir kaosa neden olmuştu.
CrowdStrike kısa süre sonra yayımladığı ön raporda kesintinin Falcon sensörüne yapılan hatalı bir güncellemeden kaynaklandığını iddia etmişti.
Windows işletim sisteminin çekirdek seviyesinde yer alan Falcon platformu, bilgisayarlara geniş bir erişime sahip ve sistemleri kötü niyetli yazılımlardan ve bilgisayar korsanlarından korumak için bir dizi sensörü analiz etmesi gerekiyor. Şüpheli faaliyet belirtilerini kontrol etmek için bir bilgisayardaki bir dizi göstergeyi inceleyerek çalışıyor.
This morning, we published the Root Cause Analysis (RCA) detailing the findings, mitigations and technical details of the July 19, 2024, Channel File 291 incident. We apologize unreservedly and will use the lessons learned from this incident to become more resilient and better…
— CrowdStrike (@CrowdStrike) August 6, 2024
19 Temmuz 2024'te yaşanan Kanal 291 olayına dair bulguları, sınırlamaları ve teknik ayrıntıları detaylandıran Temel Neden Analizi'ni bu sabah yayımladık.
Şimdiyse daha kapsamlı bir Temel Neden Analizi'nde CrowdStrike, krizin sadece tespit edilmemiş bir sensörden kaynaklandığını iddia etti. Bu hatayı "Kanal 291 olayı" diye adlandırıyor.
CrowdStrike, Falcon sistemini güncellediğinde olası saldırılar için kontrol ettiği sensörlerin yerini ya da sayısını değiştiriyor.
Hatalı güncelleme 19 Temmuz'da yayımlandığında, Falcon sistemin 20 girdi alanına sahip olmasını bekliyordu ancak bunun yerine 21 girdi alanı vardı.
Bu "sayı uyuşmazlığı" sistemlerin belleğini doldurdu ve küresel Microsoft çöküşüne yol açtı.
"İçerik yorumlayıcısı sadece 20 değer bekliyordu" diye açıklanan raporda, hatanın bilgisayarları olmayan ekstra verinin kaynağını aramaya çalışırken bir çöküşe gönderdiği anlamına geliyor.
Bu nedenle, 21. değere erişme girişimi, giriş veri dizisinin sonunun ötesinde sınırdışı bir bellek okuması üretti ve sistem çökmesine neden oldu.
Falcon, Windows'la yakından bağlantılı olduğu için çökmesi tüm sistemi çökertti.
CrowdStrike, X'te "Tüm samimiyetimizle özür diliyoruz ve bu olaydan çıkardığımız dersleri daha dirençli olmak ve müşterilerimize daha iyi hizmet vermek için kullanacağız. Hâlâ etkilenen tüm müşterilerimize, tüm sistemler geri yüklenene kadar rahat etmeyeceğimizi bilmelerini isteriz" açıklamasını yaptı.