>b's weblog

“Zu sagen was ist, bleibt die revolutionärste Tat.” (Rosa Luxemburg)

Crowdstrike hat einen legendär schlechten Track record im Binary parsing, übrigensToyota stellt seine neuen Wasserstoff-Verbrennungsmotoren vor

«Wurde der CrowdStrike Windows-Computer-Crash absichtlich verursacht?»

In aller Kürze: Nein ;-) Ehden Biber plappert hier Unsinn.

Ohne zu wissen, was genau schiefgelaufen ist, sind das Seifenblasen, die Biber hier aufbläst. Shawn Henry ist übrigens nicht “Präsident” sondern CSO.

Ein wenig technischer:

Die Interpreter in der Filterimplementierung im Kernel sind im binary parsing nicht sicher gegen fuzzing. Das ist, was wohl schiefgelaufen ist. Es zeigt übrigens einen attack vector auf die Crowdstrike-Software auf. Bei dem Track Record des Unternehmens überrascht das jedoch nicht.

Im CI wird das nicht getestet. Im CD wird das auch nicht unbedingt getestet, denn dort testet man die Softwarepakete und nicht unbedingt Nutzdaten. Ich nehme an, das wird Crowdstrike nun hinzufügen zu den Tests.

Denn darum geht es in den Dateien, die den Fehler verursachen: das sind Nutzdaten. Die Dateien heissen zwar .sys, sind jedoch eben keine Treiber. Sie enthalten die Informationen für den Malware-Scanner.

Biber plappert also.