Les BSoD (blue screen of death) sont redoutés par les utilisateurs des systèmes Windows. Avec à la clé une interrogation : quelle est leur origine ? Dans le cas présent, le vecteur du crash est connu, Carbon Black de VMware. L’EDR de la firme a en effet provoqué des plantages au sein de systèmes Windows (serveurs et PC) dans plus de 50 entreprises et organisations.

Le problème a vite été diagnostiqué et provient d’un ensemble de règles de sécurité déployées dans Carbon Black Cloud Sensor 3.6.0.1979 - 3.8.0.398. Cette diffusion provoque alors un écran bleu sur les systèmes avec comme code d’arrêt « PFN_LIST_CORRUPT ». Les OS de Microsoft concernés sont Windows 10 x64, Server 2012 R2 x64, Server 2016 x64 et Server 2019 x64.

Le jeu de règles mis à jour

Selon un spécialiste contacté par nos confrères de Bleepingcomputer, tous les clients touchés se servaient du capteur 3.7.0.1253 de Carbon Black. Il semble qu’il y ait eu un conflit entre l’EDR et le pack de signature AV 8.19.22.224. Dans certains cas rapportés, plus de 500 points de terminaison ont été plantés en quelques minutes.

Du côté du spécialiste de la virtualisation, la réponse a été relativement rapide. Il a indiqué être « conscient d'un problème affectant un nombre limité de terminaux clients, où certaines anciennes versions de capteurs ont été touchées par une mise à jour de nos capacités de prévention comportementale. Le problème a été identifié et corrigé ». Dans un premier temps, VMware avait recommandé une solution de contournement temporaire en mettant les capteurs en mode bypass via la console de Carbon Black Cloud.