L’écran bleu de la mort (BSOD) déclenché le 19 juillet 2024 dans les environnements Windows du monde entier a été causé par une mise à jour défectueuse du composant de Détection et Réponse des Endpoints de CrowdStrike Falcon Sensor.

Comment un défaut de mise à jour d’une application a-t-il pu provoquer un BSOD ?

Le pilote de CrowdStrike Falcon fonctionne au niveau du noyau sur toutes les machines. Ce logiciel de pilote est installé dans la phase de pré-initialisation du système d’exploitation. Lorsque ces pilotes de détection et de réponse aux menaces sont installés tôt, ils empêchent les malwares et autres charges malveillantes de s’installer sur les machines. Ces pilotes relèvent de la catégorie de la protection anti-malware à lancement anticipé (ELAM).

Qui crée les pilotes ELAM ?

Les fournisseurs qui créent des pilotes ELAM doivent être membres de l’Initiative de Virus de Microsoft (MVI). MVI vérifie les intentions et la compétence technique de ces outils et n’accepte que les fournisseurs qui répondent à leurs exigences.

L’une des principales exigences de la MVI est que le fournisseur doit être entièrement responsable de la mise à jour du logiciel sur toutes les machines clientes.

Comment le capteur ELAM de CrowdStrike Falcon est-il mis à jour ?

Les machines clientes reçoivent directement des mises à jour des infrastructures cloud de CrowdStrike via le protocole HTTPS sur le port 443.

CrowdStrike met automatiquement à jour le dossier des machines clientes avec des fichiers de canal supplémentaires. Ces fichiers de canal contiennent des règles de détection pour suivre les menaces et des workflows de réponse pour les remédier.

Qu’est-il arrivé au fichier (C-00000291*.sys) ?

C-00000291*.sys était l’un des fichiers de canal responsable de la création de pipes nommés.

Les pipes nommés facilitent la communication entre processus au sein d’un client ou entre un serveur et un client dans un réseau. Un objet fichier est créé dans le système de fichiers de la machine, mais son contenu est écrit en mémoire plutôt que sur un disque.

Pour trouver les pipes nommés sur votre machine, ouvrez l’invite de commande et entrez le code : [System.IO.Directory]::GetFiles(“\.\pipe\”).

La Cause de l'Événement BSOD Mondial Windows 2024

Le canal responsable de la création de pipes nommés.

Le code de ce fichier de canal comportait une erreur logique : la mémoire allouée pour la création des pipes ne suffisait pas. Cela a entravé la création des pipes et donc l’exécution des fichiers de canal correspondant à la nouvelle mise à jour. La question est de savoir pourquoi cette mise à jour n’a pas été testée avant d’être déployée.

Mais pourquoi un BSOD ?

Les opérations au niveau du noyau affectent à la fois le matériel et les logiciels d’une machine Windows. Si quelque chose ne fonctionne pas correctement à ce niveau, cela peut avoir de graves répercussions sur l’état de la machine. Ainsi, si l’un des processus échoue, Windows affiche immédiatement le BSOD.

Comment réparer le BSOD causé par le capteur Falcon ?

CrowdStrike a corrigé l’erreur d’allocation de mémoire dans sa mise à jour. Cependant, tous les systèmes affectés ont dû être redémarrés manuellement pour que la mise à jour prenne effet.

Ce phénomène mondial restera un exemple classique de la manière dont des bases de sécurité solides peuvent assurer le bon fonctionnement des organisations.

Un simple défaut de mise à jour, une mauvaise configuration, l’utilisation de mots de passe par défaut et des permissions faiblement couplées pour les utilisateurs et les entités – chacun de ces éléments peut paralyser des entreprises. La surveillance continue des facteurs de sécurité et de risque peut aider les organisations à rester en sécurité sur le long terme.

 

Source : What caused the worldwide BSOD event in 2024 for Windows environments?  

Rédigé par Shehnaaz N