CrowdStrike将其在全球造成的巨大混乱归咎于一个测试软件错误

CrowdStrike将上周引发的大规模冲突事件归咎于自己测试软件中的一个漏洞。周三，该公司更新了修复指南，增加了"初步事件后回顾"（PIR），提供了该公司对如何导致850万台Windows操作系统瘫痪的看法。

解释的开头详细说明了CrowdStrike的猎鹰传感器附带的"传感器内容"定义了其功能。该软件通过"快速反应内容"进行更新，从而能够检测和收集新威胁的信息。

传感器内容依赖于"模板类型"，即包含预定义字段的代码，供威胁检测工程师在快速响应内容中使用。

快速反应内容以"模板实例"的形式提供，CrowdStrike将其描述为"特定模板类型的实例"。每个模板实例都映射了传感器软件需要观察、检测或预防的特定行为。

2024年2月，CrowdStrike推出了一种新的"InterProcessCommunication（IPC）模板类型"，该供应商旨在检测"滥用命名管道的新型攻击技术"。

IPC模板类型已于3月5日通过测试，因此发布了使用该类型的模板实例。

4月8日至4月24日期间又部署了三个IPC模板实例。所有实例的运行都没有导致850万台Windows机器崩溃--不过，正如我们本周早些时候报道的那样，Linux机器在四月份也遇到了CrowdStrike的问题。

7月19日，CrowdStrike又推出了两个IPC模板实例。其中一个包含"有问题的内容数据"，但由于CrowdStrike称其为"内容验证器中的一个错误"，该模板还是投入了生产。

帖子中没有详细说明内容验证器的作用，我们假设它的作用和名字一样。

无论验证器做了什么或应该做什么，它都没有阻止7月19日模板实例的发布。之所以出现这种情况，是因为CrowdStrike认为，通过了3月份交付的IPC模板类型测试以及随后的相关IPC模板实例测试，就意味着7月19日的发布没有问题。

历史告诉我们，这是一个非常错误的假设。它"导致越界内存读取引发异常，无法从容应对这一意外异常，导致在大约850万台机器上运行的Windows操作系统崩溃。"

事件报告包括承诺更严格地测试未来的快速反应内容、错开发布时间、为用户提供更多关于何时部署的控制以及提供发布说明。

报告还包括一项承诺，即一旦CrowdStrike完成调查，将发布完整的根本原因分析报告。