El defecto estaba en uno llamado Canal 291, dijo la compañía en la publicación técnica del blog del sábado. El archivo está almacenado en un directorio llamado «C:\Windows\System32\drivers\CrowdStrike\» y con un nombre de archivo que comienza con «C-00000291-» y termina con «.sys». A pesar de la ubicación y el nombre del archivo, el archivo no es un controlador de kernel de Windows, insistió CrowdStrike. El Archivo de Canal 291 se usa para pasarle al sensor Falcon información sobre cómo evaluar la ejecución de «canalizaciones con nombre». Los sistemas Windows usan estas canalizaciones para la comunicación entre sistemas o entre procesos, y no son en sí mismas una amenaza, aunque pueden usarse indebidamente. «La actualización que ocurrió a las 04:09 UTC fue diseñada para apuntar a canalizaciones con nombre maliciosas recientemente observadas que están siendo utilizadas por C2 comunes [command and control] “Los marcos de trabajo en los ciberataques”, explica la publicación del blog técnico.