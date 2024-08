CrowdStrike heeft het eindrapport uitgebracht over de oorzaak van de wereldwijde computerstoring die het vorige maand veroorzaakte. Het cybersecuritybedrijf kwam eind juli al met voorlopige bevindingen waarin het stelde dat een bug ervoor zorgde dat een defecte update voor de Falcon-beveiligingssoftware niet werd opgemerkt. Het nu gepubliceerde rapport geeft meer technische details, maar maakt ook duidelijk dat er niet goed werd getest.

Zo werden onder andere een logicafout, out-of-bounds read, verschillen tussen verwachte en aangeboden invoer niet opgemerkt en parameters in updates niet goed getest. Verder werden updates niet gefaseerd onder klanten uitgerold. In het rapport stelt CrowdStrike dat het in de toekomst meer en uitgebreider zal gaan testen. Daarnaast wijst het ook naar de aankondiging van Microsoft dat beveiligingssoftware niet voor alle onderdelen in kernelmode zou moeten draaien.

Door met kernelrechten te draaien wil beveiligingssoftware voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties kan.

Microsoft wil dat beveiligingssoftware vaker gebruikmaakt van usermode. CrowdStrike zegt dit te zullen ondersteunen als Microsoft support hiervoor in Windows beschikbaar maakt. Wanneer dat zal zijn is onduidelijk. "Veel werk moet nog voor het Windows-ecosysteem worden verricht om een robuust beveiligingsproduct te ondersteunen dat voor tenminste een deel van de functionaliteit niet afhankelijk is van een kerneldriver", aldus het cybersecuritybedrijf.