TLDR:
Поскольку у них драйвер на уровне ядра, то для официального обновления драйвера нужно проходить сертификацию майкрософта, что довольно долго, а им надо быстро выкатывать апдейты, поэтому они хранят все правила антивируса в динамических файлах которые автоматически подгружаются с их сервера
Они выкатили новое правило для сканирования IPC запросов, которое принимало на вход список из 21 аргумента, а система передавала туда только 20.
ВАЛИДАЦИИ АРГУМЕНТОВ У НИХ НЕТ 😁
Тесты это не поймали, потому что они доставали аргументы из запроса ЕБУЧИМ РЕГЕКСОМ, и аргумент номер 21 матчился звёздочкой (условно .*), поэтому в него просто передавалась пустая строка
Потом они сделали апдейт в котором поменяли регекс, и пустая строка больше не подходила под 21 группу, а дальше функция зовет args[20], и все, пизда.
Дальше эти ебланы в своем репорте пишут ВЫВОДЫ, которые они сделали из этого ИНЦИДЕНТА.
Краткая сводка выводов: "чеееее оказывается нам надо валидировать нашу хуйню и писать нормальные тесты а ещё НЕ выкатывать апдейты на все машины одновременно???? ОХУЕТЬ простите пожалуйста МЫ НЕ ЗНАЛИ"
Это НЕ первый раз когда краудстрайк крашил компьютеры, это просто самый масштабный случай на данный момент
Как вы думаете, начнут ли они писать нормальные тесты, если прошлые случаи их ничему не научили 🤷♂️