La fin de semaine a été animée chez CrowdStrike : le déploiement d’une mise à jour a causé une panne informatique mondiale qui a touché aéroports, banques, chaînes de TV et de nombreuses entreprises. Le patch fautif a planté plus de 8,5 millions de PC Windows selon Microsoft, qui a indiqué que cela représentait « moins de 1 % de tous les appareils Windows ». De son côté, CrowdStrike a publié un billet de blog expliquant plus en détail ce qui s’est passé.
Crowdstike est une société commercialisant une suite de sécurité pour les entreprises. Le matin du 19 juillet, elle a publié une « mise à jour de la configuration des capteurs » pour les machines Windows, téléchargée automatiquement par les PC connectés au réseau. C’est elle qui a créé une erreur entraînant un plantage de Windows affichant le fameux écran bleu.
CrowdStrike explique que la mise à jour a modifié un type de fichier retouché régulièrement dans le but de pouvoir être réactif face aux pirates. Le fichier buggé se trouve dans le dossier C:\Windows\System32\drivers\CrowdStrike\, a un nom commençant par C-00000291 et se termine en .sys. « Bien que les fichiers de canaux se terminent par l'extension .SYS, ils ne sont pas des pilotes du noyau », insiste l’entreprise.
Le fichier de canal 291 contrôle la manière dont Falcon évalue l'exécution des canaux nommés ["named pipes" en anglais] sur les systèmes Windows. Les canaux nommés sont utilisés pour la communication normale, interprocessus ou intersystème dans Windows.
La mise à jour qui a eu lieu à 04:09 UTC a été conçue pour cibler les canaux nommés malveillants récemment observés et utilisés par des structures C2 courantes dans les cyberattaques. La mise à jour de la configuration a déclenché une erreur logique qui a entraîné une panne du système d'exploitation.
CrowdStrike explique ensuite avoir corrigé son fichier en modifiant son contenu et ajoute qu’aucune mise à jour ne lui sera accordée. « Ce problème n'est pas lié aux octets nuls contenus dans le fichier de canal 291 ou dans tout autre fichier de canal », précise le billet face à une rumeur qui avait éclos sur les réseaux sociaux. Il ne donne en revanche aucune indication sur ce qui a mené à ce bug dans le fichier.
La mise à jour fautive n’est restée en ligne que 78 minutes avant d’être corrigée, mais le patch déployé ne s’installe pas automatiquement dans tous les cas. Si redémarrer l’ordinateur dans les choux plusieurs fois peut aider, certains n’ont pas d’autres choix que d’aller supprimer le fichier manuellement… ce qui peut prendre énormément de temps sur le parc de machines d’une grande entreprise.
La communication de CrowdStrike autour de cette panne générale ne rassure pas vraiment. La société n’indique pas comment une telle mise à jour a pu finir sur un si grand nombre d’ordinateurs, alors qu’elle était de toute évidence complètement buggée. Le billet confirme que le fichier fautif a été corrigé… mais pas le système permettant son déploiement à grande échelle. L’entreprise promet d’en dire plus prochainement et de partager les conclusions de son enquête interne. Dans un post LinkedIn, elle assure qu’un nombre « significatif » de PC Windows sont déjà remis sur pied.
En attendant, Microsoft a publié un outil destiné aux administrateurs permettant de plus facilement récupérer une machine touchée par le bug. L’utilitaire permet de créer une clef USB bootable qui va automatiquement aller supprimer le fichier C-00000291*.sys sans avoir à passer par le mode sans échec. Une page d’assistance a été mise en ligne avec des indications pour les différents types de machines.
