นี่คือการตรวจสอบเหตุการณ์เบื้องต้น (Preliminary Post Incident Review : PIR) ของ CrowdStrike โดยให้รายละเอียดการสืบสวนทั้งหมด ในการวิเคราะห์สาเหตุที่แท้จริงที่ได้เผยแพร่ต่อสาธารณะ โดยใน PIR ชิ้นนี้ ได้ใช้คำศัพท์ทั่วไปในการอธิบายแพลตฟอร์ม Falcon เพื่อให้อ่านเข้าใจได้ง่ายขึ้น
เกิดอะไรขึ้น?
เมื่อวันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 04:09 (UTC) เป็นช่วงเวลาการดำเนินงานตามปกติ CrowdStrike ได้ปล่อยตัวอัปเดตค่าคอนฟิกูเรชั่นสำหรับเซ็นเซอร์ Windows เพื่อรวบรวมข้อมูลด้านเทคนิคการคุกคามใหม่ที่อาจเกิดขึ้น โดยการอัปเดตเหล่านี้เป็นส่วนหนึ่งของกลไกการป้องกันแบบไดนามิกของแพลตฟอร์ม Falcon ตามปกติ แต่เนื่องจากมีปัญหากับตัวคอนฟิกูเรชั่นของ Rapid Response Content ก็เลยส่งผลให้ระบบ Windows เกิดการหยุดทำงาน
ดังนั้นระบบ Windows โอสต์ที่ใช้เซ็นเซอร์เวอร์ชัน 7.11 ขึ้นไปที่ออนไลน์ระหว่างวันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 04:09 UTC ถึงวันศุกร์ที่ 19 กรกฎาคม 2024 เวลา 05:27 UTC จะได้รับการอัปเดต (ยกเว้นโฮสต์ที่อยู่บน Mac และ Linux จะไม่ได้รับผลกระทบ) แต่ระบบที่เชื่อมต่อออนไลน์หลังจากเวลานี้ หรือที่ไม่ได้เชื่อมต่อในช่วงเวลาดังกล่าว จะไม่ได้รับผลกระทบ
สาเหตุแห่งการผิดพลาด
CrowdStrike ได้ปล่อยตัวคอนฟิกูเรชั่นในการอัปเดตไปยังเซ็นเซอร์ทั้งสองส่วนก็คือ Sensor Content ที่ถูกจัดส่งไปยังเซ็นเซอร์โดยตรง และ Rapid Response Content เป็นตัวที่ถูกออกแบบมาเพื่อตอบสนองต่อภัยคุกคามที่เปลี่ยนแปลงในช่วงของการดำเนินงาน ซึ่งปัญหาที่เกิดขึ้นในวันศุกร์นั้นเกี่ยวข้องกับตัวอัปเดต Rapid Response Content ที่เกิดข้อผิดพลาดและไม่ได้ถูกตรวจพบนั่นเอง
อ่านเพิ่มเติมที่นี่ – CrowdStrike