CrowdStrike 將上週引發的大規模衝突事件歸咎於自己測試軟體中的一個漏洞。週三，該公司更新了修復指南，增加了”初步事件後回顧”（PIR），提供了該公司對如何導致850 萬台Windows 作業系統癱瘓的看法。

解釋的開頭詳細說明了CrowdStrike 的獵鷹感測器附帶的”感測器內容”定義了其功能。該軟體透過”快速反應內容”進行更新，從而能夠檢測和收集新威脅的資訊。

感測器內容依賴”模板類型”，即包含預先定義欄位的程式碼，供威脅偵測工程師在快速回應內容中使用。

快速反應內容以”模板實例”的形式提供，CrowdStrike 將其描述為”特定模板類型的實例”。每個模板實例都映射了感測器軟體需要觀察、檢測或預防的特定行為。

2024 年2 月，CrowdStrike 推出了新的”InterProcessCommunication（IPC）模板類型”，該供應商旨在檢測”濫用命名管道的新型攻擊技術”。

IPC 範本類型已於3 月5 日通過測試，因此發布了使用該類型的範本實例。

4 月8 日至4 月24 日期間又部署了三個IPC 範本實例。所有實例的運作都沒有導致850 萬台Windows 機器崩潰–不過，正如我們本週早些時候報導的那樣，Linux 機器在四月也遇到了CrowdStrike 的問題。

7 月19 日，CrowdStrike 又推出了兩個IPC 模板實例。其中一個包含”有問題的內容資料”，但由於CrowdStrike 稱其為”內容驗證器中的一個錯誤”，該模板還是投入了生產。

貼文中沒有詳細說明內容驗證器的作用，我們假設它的作用和名字一樣。

無論驗證器做了什麼或應該做什麼，它都沒有阻止7 月19 日模板實例的發布。之所以會出現這種情況，是因為CrowdStrike 認為，通過了3 月份交付的IPC 模板類型測試以及隨後的相關IPC 模板實例測試，就意味著7 月19 日的發布沒有問題。

歷史告訴我們，這是一個非常錯誤的假設。它”導致越界記憶體讀取引發異常，無法從容應對這一意外異常，導致在大約850 萬台機器上運行的Windows 作業系統崩潰。”

事件報告包括承諾更嚴格地測試未來的快速反應內容、錯誤開發佈時間、為用戶提供更多關於何時部署的控制以及提供發布說明。

報告還包括一項承諾，一旦CrowdStrike 完成調查，將發布完整的根本原因分析報告。