CrowdStrike: Microsoft erklärt, wie es zum weltweiten Chaos kommen konnte

Nach den massiven IT-Ausfällen, die mit dem Sicherheitsdienstleister CrowdStrike zusammenhingen, ist auch Kritik an Microsoft eingeprasselt. Dem Unternehmen wurde nachteilig ausgelegt, dass man einem Drittanbieter überhaupt Zugriff auf die Kernelebene erlaubt hat - erst hierdurch war das fehlerhafte Update überhaupt in der Lage, weltweite Störungen zu verursachen.

Nun hat Microsoft eine technische Analyse im Entwicklerblog veröffentlicht, der genauer auf die Umstände des CrowdStrike-Desasters eingeht. Demzufolge war dieser Kernelzugriff für den Anbieter zwingend notwendig, da es als Sicherheitsprodukt in der Lage sein muss, systemweite Sichtbarkeit aufzuweisen, um möglichst früh potenzielle Bedrohungen zu erkennen.

Auch bieten Treiber auf der Kernelebene eine bessere Leistung für Fälle wie "Netzwerkaktivitäten mit hohem Durchsatz". Allerdings wird durch diese tiefe Zugriffsmöglichkeit auch das Risiko für potenzielle Fehler erhöht - wie im Fall von CrowdStrike geschehen. Denn im gleichen Atemzug bestätigt Microsoft auch, dass die ursprüngliche Analyse der Fehlerquelle korrekt war.

So sind die Abstürze und Bluescreens tatsächlich auf einen fehlerhaften Treiber zurückzuführen. Im Detail sei der Ursprung im "CSagent.sys" genannten Treiber zu finden, der einen Lesezugriff außerhalb festgelegter Grenzen anforderte. Dieser dient eigentlich als Filter für Benachrichtigungen über Vorgänge wie dem Anlegen oder Erstellen von Dateien - die missratene Definition des Lesezugriffs sorgte hingegen dafür, dass die betroffenen CrowdStrike-Rechner frühzeitig den Dienst quittierten.