Grote blauwe schermen-storing Windows gevolg van een piepklein bestandje

De schuld van de Windows-storing afgelopen vrijdag bleek al snel bij CrowdStrike te liggen. De software van dat cybersecuritybedrijf draait vooral op computers van grote bedrijven. 'Slechts' 8,5 miljoen computers wereldwijd werden getroffen, maar dan wel van bedrijven met cruciale functies, zoals banken, ziekenhuizen en luchthavens.

Een hersteltool is sinds maandag beschikbaar, via memes kunnen we lachen om de storing en het incident was ook een soort generale repetitie voor een grote cyberaanval. En dan rest de vraag: wat ging er nou precies fout?

Verkeerde update was maar 40KB groot

Het was al duidelijk waarom de Windows-computers vorige week allemaal op blauw sprongen. In de update van CrowdStrike zat een foutje, en omdat de software van het bedrijf onbeperkte toegang tot de kern van Windows heeft, sloeg het systeem voor de veiligheid op slot vanwege de foutieve update. En natuurlijk: de IT-beheerders van de grote bedrijven zouden zulke updates beter niet meer ongezien kunnen laten installeren. Maar hoe kon CrowdStrike de foutieve update uitsturen? Controleert het bedrijf zijn eigen updates dan niet?

Jawel, want CrowdStrike stuurt erg veel updates uit, met de kenmerken van nieuwe dreigingen. Het bestand dat de fout veroorzaakte is klein en weegt maar 40KB. Zulke bestanden worden vaak uitgestuurd door CrowdStrike, altijd zonder problemen. Maar de onbeperkte toegang van CrowdStrike heeft een keerzijde: de defensie ligt dan wel diep, maar als het fout gaat, dan ligt het probleem ook diep.

Reparatie was er binnen anderhalf uur

Dat gebeurde vrijdag: het kleine bestandje bevatte een verkeerde instructie die het geheugen op een verkeerde manier probeerde aan te spreken. En als dat zo diep in het systeem gebeurt, dan crasht de boel. Probeer je dan opnieuw op te starten, dan staat dat bestandje bij de kern weer vooraan en crasht de computer opnieuw. Dat gebeurde vrijdag, waardoor de oplossing ook niet automatisch kon worden toegediend. Want CrowdStrike had de fout in het bestand na 78 minuten alweer verholpen, maar om dat nieuwe bestand te installeren, moesten computers wel volledig opstarten – en dat gebeurde niet zonder handmatig ingrijpen van de beheerder.

De fout in het kleine bestandje had eigenlijk opgemerkt moeten worden door een automatisch systeem van CrowdStrike dat elke update doorlicht. Maar die 'Content Validator', had een bug stelt het bedrijf in een uitgebreide verklaring. CrowdStrike belooft dat de controles in de toekomst nog strikter zullen zijn, met extra stappen in het controleproces. Verder zou Microsoft strenger kunnen zijn in welke bedrijven toegang kunnen krijgen tot die kwetsbare kern van Windows – al is dat niet makkelijk. Bij Windows Vista wilde Microsoft die toegang al beperken, maar kwam op veel kritiek te staan.

Meer Windows en mis niets met onze Bright-app.