Вышел официальный пост о причинах BSODStrike.
🔻 Хосты ломало обновление Rapid Response Content. Это интерпретируемый бинарь с конфигурационными данными ("поведенческими эвристиками"). Это не код и не драйвер ядра. Эти обновления инициировал сам вендор "at operational speed".
🔻 В посте масса подробностей по устройству CrowdStrike Falcon. Суть же в том, что при подготовке контента валидатор работал неправильно: "Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data." При интерпретации контента на хосте возникала ошибка out-of-bounds memory read и BSOD.
🔻 Обновление катали 19 июля с 04:09 UTC по 05:27 UTC на Windows хосты с сенсорами версии 7.11, которые были в онлайне.
В общем, всё как в моих предыдущих постах про вендоров облачных сервисов и безусловное доверие к обновлениям контента. Вендор пушил обновление контента из облака по собственному усмотрению и умудрился ушатать хосты. 🤷♂️
