米CrowdStrikeは7月20日(現地時間)、同社のサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題の発生原因と対策について公式ブログで説明した。
経緯
19日午前4時9分にリリースしたWindowsシステムに対するセンサー構成の「チャンネルファイル」の更新(Falconプラットフォームの保護メカニズムに関するもの)によってロジックエラーが発生し、影響を受けるシステムでクラッシュとブルースクリーンが発生。
クラッシュの原因となった更新は、19日午前5時27分に修正した。
なお、こうしたセンサー構成の更新はこれまでも1日に数回実行されてきたものという。
影響を受けた環境
更新リリース期間中オンラインだったWindows用FalconセンサーのVer.7.11以降を実行していた顧客が影響を受けた可能性がある。
クラッシュの原因
原因となったチャンネルファイルは「291」という名称で、拡張子は「.sys」だがカーネルドライバーではない。
今回の更新は、サイバー攻撃で一般的なC2フレームワークによって使われている、悪意のある名前付きパイプをターゲットにするよう設計されていたが、ロジックエラーが発生した。
ロジックエラーは修正しており、その後291への追加更新は展開していない。
CrowdStrikeは、「この問題がどのように発生したかは把握しており、徹底的な根本原因分析を行っている」とし、調査結果を更新していくとしている。
Microsoftは同日、この問題の影響を受けたWindows PCは世界で850万台と推定した。