Crowdstrike hat einen legendär schlechten Track record im Binary parsing, übrigens
Dieser Fall ist schon zwei Jahre her. Und der hier von letztem Monat. Der ungültige Pointer im Sprungverteiler kommt nach Crowdstrikes eigener Darstellung daher.
Neu ist nur, dass es diesmal zum GAU gekommen ist. Ganz offensichtlich wäre das Einführen von Fuzzing für Crowdstrike eine gute Idee – wenigstens für den Kernel Code, den sie ausliefern.
Denn Binary parsing-Probleme sind immer auch Attack vectors. Und eigentlich sollte Endpoint-Security-Software die Systeme sicherer machen und nicht unsicherer – was bei Falcon jedoch der Fall zu sein scheint.
Microsoft wäre anzuraten, den Weg zu gehen, den Apple gegangen ist: Kernel-Schnittstellen für Userland-Endpoint-Security statt dass man wie Crowdstrike Kernel code schreiben muss. Wenn was schiefläuft, dann stehen wenigstens nicht die Maschinen komplett hin.
Für die Nicht-ITler unter meinen Lesern: Crowdstrike hat schon lange Qualitätsprobleme. Dieser Unfall ist nur der grösste in einer ganzen Reihe. Die könnten mal die Nase austauschen, die diesen Teil der Entwicklung verantwortet, sonst wird das wieder und wieder passieren mit ihrer Software.