Falcon Sensor est largement utilisé pour sa protection avancée des points de terminaison. L'incident s’est déclenché lorsque CrowdStrike a déployé une mise à jour qui modifiait des pilotes au niveau du noyau de Windows, créant des conflits avec les composants critiques utilisés par Defender, une partie intégrante de la suite de sécurité Microsoft 365 et intégrée directement dans le système d'exploitation Windows 10 et Windows 11. En fait, le dysfonctionnement est provoqué par les interactions des composants système de Falcon Sensor avec l’OS et pas avec Defender.
Falcon Sensor est un produit de sécurité informatique. Il utilise une technologie de protection précoce appelée "Kernel Driver Protection" pour empêcher les logiciels malveillants, y compris les rootkits, d'accéder au noyau du système d'exploitation Windows. Il s'installe au niveau du noyau du système d'exploitation, ce qui peut entraîner des conflits avec d'autres pilotes ou logiciels qui accèdent également au noyau. Cette position au centre du système, au plus près du noyau, est un gage d’efficacité, mais si le pilote de kernel de Falcon Sensor rencontre des problèmes, cela peut entraîner des plantages du système, des écrans bleus de la mort (BSOD) ou une instabilité
chronique du système.
Des routines qui interfèrent avec les appels système
Dans le cas présent, CrowdStrike a introduit des modifications dans les pilotes de noyau qui surveillent les processus systèmes et les appels systèmes, essentiels pour la détection des comportements suspects et la réponse aux menaces. CrowdStrike a mis en place de nouvelles routines de surveillance qui interféraient avec les appels systèmes utilisés par Microsoft Defender pour scanner les fichiers et surveiller les comportements suspects. Cette interférence a causé des blocages et des pannes dans les processus de Defender.Ces modifications ont créé des conflits avec les pilotes utilisés par Defender, empêchant celui-ci de charger ses modules de protection en temps réel. Les utilisateurs de Windows ont rapidement remarqué que Microsoft Defender ne pouvait pas démarrer ses services de protection en temps réel, entraînant des messages d'erreur indiquant que la protection était désactivée. Les analyses de maliciels planifiées et à la demande échouaient systématiquement, ce qui laissait les systèmes exposés aux menaces sans possibilité de défense efficace.
En réponse à cette crise, les équipes techniques de Microsoft et de CrowdStrike ont travaillé ensemble pour identifier les causes de l'incompatibilité. Microsoft a publié une mise à jour de l'outil de récupération avec deux options de réparation afin d'aider les administrateurs informatiques à accélérer le processus de réparation. Certains dysfonctionnement ne peuvent toutefois pas être réparés à distance, les utilisateurs devront effectuer les réparations localement
Cet incident met en évidence, une fois de plus, la nécessité d'une vigilance constante, de tests approfondis et d'une meilleure collaboration entre les acteurs de la cybersécurité. Elle souligne l'importance de tests de compatibilité rigoureux avant le déploiement des mises à jour. En particulier lorsqu’il s’agit de solutions rootkit, qui résident dans les couches basses du système d’exploitation, au plus près du noyau, et qui échappent aux mécanismes de remédiation aux pannes de Windows, qui opèrent aux niveaux les plus hauts, au plus proches des applications.
