微軟全球藍屏事件,破案了!
一個由「C-00000291*.sys」配置文件觸發的系統邏輯錯誤,瞬間就破壞掉全世界約10億臺計算機,并在隨后引發所有的二階、三階效應。
就如AI大神Karpathy所言,技術領域還存在著的單點瞬時故障,都將對人類社會造成巨大隱患。
而這次造成全球TI災難的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——
2010年在McAfee用一個更新搞崩全球設備的,竟然也是他!
邏輯錯誤,觸發全球大崩潰
故障發生的第一時間,就有網友向大家發出警告——停止所有CrowdStrike更新!停止所有CrowdStrike更新!
對于事件起因,Objective-See基金會創始人Patrick Wardle也在第一時間就做了一番詳細調查。
首先,他查看了故障位置——mov r9d,[r8]。其中R8屬于未映射的地址。
這個位置取自指針數組(保存在RAX中),索引RDX(0x14 * 0x8)保存了一個無效的內存地址。
其他的「驅動程序」(例如「C-00000291-...32.sys」)似乎是混淆的數據,并且被「CSAgent.sys」進行了x-ref'd操作。
因此,或許是這種無效(配置/簽名)的數據,觸發了CSAgent.sys中的故障。
通過調試,可以更容易地判斷這一點。
顯然,事故中最重要的懸而未決的問題就是,這個「C-00000291-...xxx.sys」文件究竟是什么?
CSAgent.sys一旦引用它們,就立馬崩潰了;而只要刪除它們,就可以修復崩潰。
在VT上,他還對CSAgent.sys以及來自單個故障轉儲的數據進行了逆向分析。
最后,Wardle分享出了CSAgent.sys的幾個版本(+idb),以及各種「C-....sys」文件(包括他認為已經包含了「修復」的最新文件)。
他表示,由于自己沒有任何Windows系統或虛擬機,所以希望網友們能繼續挖掘。
就在昨天,惡意軟件專家Malware Utkonos有了更多細節的發現——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處,似乎有一個針對0xaaaaaaaa的文件魔法檢查。
這個模式,也是「通道文件」(Channel Files)的前四個字節。全部為NULL的文件,就可能會導致該cmp失敗。
可以看到,rcx中與0xaaaaaaaa進行比較的值,由ExAllocatePoolWithTagPriority分配在頂部。那里正是接收ZwReadFile讀取的數據的緩沖區。
這個值會在之后用cmp傳遞給函數(Utkonos在圖中將這些函數命名為內部的wdm.h函數調用)。
通過合理性檢查可發現:0xaaaaaaaa字節模式僅在此處檢查的「通道文件」偏移0處出現過一次。
以下就是執行類似cmp的地址。
可以看到,只有0xaaaaaaaa看起來不同。
很快,CrowdStrike在官博放出的解釋,對于網友們疑惑的問題進行了澄清——
2024年7月19日04:09 UTC,CrowdStrike在持續運營中向Windows系統發布了一次傳感器配置更新,這也是Falcon平臺保護機制的一部分。
這次配置更新觸發了一個邏輯錯誤,導致受影響的系統出現崩潰和藍屏(BSOD)。
導致系統崩潰的更新已于2024年7月19日05:27 UTC得到修復。
報告地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
其中技術細節如下——
在Windows系統中,通道文件位于以下目錄:C:\Windows\System32\drivers\CrowdStrike\,并且文件名以「C-」開頭。每個通道文件都有一個唯一編號作為標識。
此次事件中受影響的通道文件為291,文件名以「C-00000291-」開頭,以.sys擴展名結尾。雖然通道文件以SYS擴展名結尾,但它們不是內核驅動程序.
通道文件291會影響Falcon如何評估Windows系統上的命名管道執行。這些命名管道用于Windows中正常進程間或系統間通信的機制。
周五的更新,本意是針對網絡攻擊中常見的C2框架中所使用的新發現的惡意命名管道,但實際上卻觸發了系統的邏輯錯誤,導致崩潰。
不過,這與通道文件291或任何其他通道文件中的空字節問題無關。
此事已被網友用Suno做成歌曲
要想恢復,就必須在安全模式下啟動機器,并且以本地管理員身份登錄并刪除內容——這是不可能自動化的。
因此,這次癱瘓的打擊面才會這么大,并且難以恢復。
上次也是他
雖然CrowdStrike承認了自己的錯誤,并在周五發布了道歉聲明和解決方案。
但他們尚未解釋清楚,這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。
自然,眾多批評的聲音開始集中到事件的核心人物:CrowdStrike的首席執行官George Kurtz。
科技行業分析師Anshel Sag指出,這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。
熟悉的配方,熟悉的味道
2010年4月21日,殺毒軟件McAfee發布了一次面向企業客戶的軟件更新。
獲得更新后的軟件會刪除一個Windows系統的關鍵文件,導致全球數百萬臺電腦崩潰并反復重啟。
和CrowdStrike的錯誤類似,McAfee的問題也需要手動修復(設備斷網離線)。
而Kurtz,正是當時McAfee的首席技術官。
2012年,Kurtz創立了CrowdStrike,并一直擔任首席執行官至今。
2010年4月21日早上6點,McAfee向企業客戶發布了一個「有問題」的病毒定義更新。
然后,這些自動更新的Windows XP電腦,會直接陷入「無限重啟」的循環中,直到技術支持人員到場手動修復。
背后的原因其實很簡單——殺毒軟件在收到新的定義之后,會將一個常規的Windows二進制文件「svchost.exe」識別為病毒「W32/Wecorl.a」,并予以銷毀。
一位大學IT人員報告稱,他的網絡上有1200臺電腦因此癱瘓。
另一封來自美國企業的電子郵件稱,他們有「數百名用戶」受到了影響:
這個問題影響了大量用戶,而簡單地替換svchost.exe并不能解決問題。你必須啟動到安全模式,然后安裝extra.dat文件,再手動運行vsca 控制臺。之后,你還需要刪除隔離的文件。每個用戶至少有兩個文件被隔離,有些用戶多達15個。不幸的是,使用這種方法,你無法確定你恢復的文件中哪些是重要的系統文件,哪些是病毒文件。
此外,還有一份來自澳大利亞的報告稱,該國最大的超市連鎖店有10%的收銀機癱瘓,導致14到18家商店被迫關閉。
這件事在當時的影響之大,讓眾人紛紛驚嘆:「即便是專注于開發病毒的黑客,估計都做不出能像McAfee今天這樣能迅速『端掉』這么多機器的惡意軟件。」
以下是SANS Internet Storm Center對這次事件的描述:
McAfee版本為5958的「DAT」文件,正在導致大量Windows XP SP3出現問題。受影響的系統將進入重啟循環并失去所有網絡連接。這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。
使用「ePolicyOrchestrator」來更新病毒定義文件,似乎加速了這個有問題的DAT文件的傳播。ePolicyOrchestrator通常用于在企業中更新「DAT」文件,但由于受影響的系統會失去網絡連接,它無法撤銷這個有問題的簽名。
Svchost.exe是Windows系統中最重要的文件之一,它承載了幾乎所有系統功能的服務。如果沒有Svchost.exe,Windows根本無法啟動。
兩起事件雖然相隔14年,但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出并進入生產服務器的。理論上,這類問題應該在測試初期就被發現并解決了才對。
George Kurtz在新澤西州的Parsippany-Troy Hills長大,就讀于Parsippany高中。
Kurtz表示,自己在四年級時就開始在Commodore電腦上編寫電子游戲程序。高中時,建立了早期的網絡交流平臺——公告板系統。
他畢業于西東大學,獲得會計學學位。
隨后他創辦了Foundstone,并曾擔任McAfee的首席技術官。
目前,George Kurtz在與Dmitri Alperovitch共同創立的網絡安全公司CrowdStrike,擔任首席執行官。
除了商業成就外,他還是一名賽車手。
大學畢業后,Kurtz在Price Waterhouse開始了他的職業生涯,擔任注冊會計師(CPA)。
1993年,Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。
1999年,他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》,這是一本針對網絡管理員的網絡安全書籍。該書銷量超過60萬冊,并被翻譯成30多種語言。
同年晚些時候,他創辦了一家網絡安全公司Foundstone,這是最早專門從事安全咨詢的公司之一。Foundstone專注于漏洞管理軟件和服務,并發展出了一個廣受認可的事件響應業務,許多財富100強公司都是其客戶。
McAfee在2004年8月以8600萬美元收購了Foundstone,Kurtz因此成為McAfee的高級副總裁兼風險管理總經理。在任期內,他幫助制定了公司的安全風險管理策略。
2009年10月,McAfee任命他為全球首席技術官和執行副總裁。
隨著時間的推移,Kurtz對現有的安全技術運行緩慢感到沮喪,因為他認為這些技術沒有跟上新威脅的發展速度。
有一次,他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢,這一事件成為他創立CrowdStrike的靈感之一。
2011年11月,Kurtz加入私募股權公司Warburg Pincus,擔任「駐企企業家」(entrepreneur-in-residence),并開始著手他的下一個項目CrowdStrike。
2012年2月,他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手,正式成立了CrowdStrike。
CrowdStrike將重點從反惡意軟件和防病毒產品(McAfee的網絡安全方法)轉移到識別黑客使用的技術,以便發現即將到來的威脅。并開發了一種「云優先」(cloud-first)模式,以減少客戶計算機上的軟件負擔。
2017年5月,CrowdStrike估值超過10億美元。2019年,公司在納斯達克首次公開募股6.12億美元,估值達到66億美元。
2020年7月,IDC報告將CrowdStrike評為增長最快的端點安全軟件供應商。
2024年,Kurtz仍然是CrowdStrike的總裁兼首席執行官。
果然,世界就是個巨大的草臺班子。
參考資料:
https://x.com/MalwareUtkonos/status/1814777806145847310
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
#長文創作激勵計劃#
美貿易摩擦由經貿領域向科技領域延伸,安全可控是我國的必由之路,產業鏈目前應用軟件和基礎硬件的差距逐步縮小,但芯片、基礎軟件等方面的差距仍然較大,短板亟待補齊,有望成為國家重點發展領域。外部環境變化縮短我國國產替代的緩沖期,更加堅定我國發展安全可控的決心,利好全產業鏈發展。我們對計算機行業安全可控產業鏈進行梳理,探究發展機會。
計算機行業安全可控產業鏈中,硬件主要包括服務器以及里面主要部件cpu、存儲等,軟件主要包括操作系統、數據庫、中間件、辦公軟件(wps、erp、oa)、信息安全軟件以及其他應用級軟件(PDF、CAD)等。我國安全可控產業鏈快速發展,具有一定的成熟度,達到“基本好用”的應用標準。
服務器:
三家國內品牌闖入全球前五,國內占據主導份額國內服務器市場的主要參與競爭的企業有聯想、華為、浪潮信息、新華三、戴爾、惠普等,國內品牌包括聯想、浪潮信息、華為、中科曙光、新華三等。據前瞻產業研究院數據,國內市場國產服務器占比約在70%份額。
獲得更多行業深度報告,請關注“樂晴智庫”(公眾號ID: lqzk767 /網站 www.767stock.com)
中國兩大品牌之一的浪潮,2018年受惠于政府政策推動與數據中心訂單增加,整體出貨將會接近100萬臺,在中國區出貨市占率近三成。在產品規劃上,浪潮大部分服務器代工與品牌出貨皆集中在中國國內互聯網客戶,尤其以一線互聯網廠商BAT(百度、阿里巴巴與騰訊)最具規模,而在第二線互聯網廠商頭條、美團、京東、滴滴等崛起加持下,訂單持續增長。
華為2018年在穩健的電信運營商標案加持下,整體出貨動能來到歷史新高,全年成長二成。若以出貨規劃來看,中國區服務器需求約占華為整體出貨的七成,其余則以歐洲車廠與電信運營商的服務器與數據中心建案(5G、telecomserver)為主。
CPU:
國產CPU架構多樣,基本都已實現量產目前我國芯片的研發基于指令體系的不同呈現出了多技術路線同步推進的高速發展階段,主要的領導廠商有天津飛騰、上海兆芯、天津海光、華為海思泰山、龍芯、申威,其指令體系分別為ARM、x86、x86、ARM、MIPS、Alpha。其中MIPS、Alpha架構從底層開始實現完整的安全可控,X86、ARM架構屬于全球技術主流,生態更加完善。目前國產CPU性能約落后國外約5年時間,但足以滿足普通應用需求,已實現批量出貨。
存儲:
國產品牌份額逆襲,2018年同比增速超過20%
長期以來,我國存儲市場幾乎被EMC、戴爾、IBM、日立、富士通等外資品牌所壟斷。但隨著國內廠商存儲器技術的逐漸成熟,外資品牌的技術壁壘被打破,國產品牌開始迅速壯大。目前我國外部存儲器市場上國產品牌已經占據約60%的市場份額。
其中,華為目前排名第一,其他主要的國內廠商還包括:海康威視、中科曙光、浪潮信息、大華股份、同有科技、宇視科技、宏杉科技、聯想、神州數碼網絡、中興通訊。據IDC數據,2018年中國企業級存儲市場占全球市場的12.0%,2018年全年同比增長26.8%,達到32億美元。
操作系統:
中標麒麟操作系統逐步成為主流國產操作系統多為以Linux為基礎二次開發的操作系統。
2014年4月8日起,美國微軟公司停止了對WindowsXPSP3操作系統提供服務支持,這引起了社會和廣大用戶的廣泛關注和對信息安全的擔憂。工信部對此表示,將繼續加大力度,支持Linux的國產操作系統。就市占率而言,在國產替代項目中,目前中國軟件的中標麒麟操作系統市占率最高。
數據庫:
國產品牌逐步崛起國內數據庫市場仍長期被Oracle、Mysql、SQLServer等國外數據庫主導,而在一些政府和重點行業的國產替代項目中,國產數據庫也得到了應用。目前國產數據庫主要包括南大通用、武漢達夢、人大金倉、神州通用等。
中間件:
在中間件領域,以2016年為例,我國中間件市場的主要參與方包括:IBM公司,市占率排名第一,為34.7%;甲骨文公司(Oracle),市占率為27.9%,排名第二,和IBM不相上下;可以看出,中間件市場兩大巨頭IBM和Oracle總共占據了將近63%的市場份額。國內企業里面份額相對接近的就是東方通、金蝶、普元等。
第三名是本土企業東方通,市占率為9.7%。第四名是金蝶,第五名是普元。其他企業共同劃分剩下的19.2%的市場份額,包括匯金科技、中創、協調時光、銳易特等國內企業,也包括RedHat、Microsoft等國外企業。據智研咨詢數據,2017年國內中間件市場規模大約為28億元。
辦公軟件(wps、erp、oa):
(1)國產文檔編輯軟件以WPS為主,由金山辦公(已申報科創板)研發銷售。
公司成立于2011年,是金山軟件旗下的控股公司。公司作為國內領先的辦公軟件和服務提供商,主要從事WPSOffice辦公軟件產品及服務的設計研發及銷售推廣。公司擁有辦公軟件領域30余年研發經驗及技術積累,旗下主要產品及服務皆由公司自主研發,對核心技術具有自主知識產權。
公司通過核心技術的突破,建立互聯網云辦公應用服務體系,創建智能辦公新模式,全面提升用戶體驗。
2018年12月,公司主要產品月度活躍用戶數(MAU)超過3.10億,其中WPSOffice桌面版月度活躍用戶數超過1.20億,領先其他國產辦公軟件;WPSOffice移動版月度活躍用戶數超過1.81億;公司其他產品(如金山詞霸等)月度活躍用戶數接近0.10億。
WPSOffice移動版已覆蓋全球超過220個國家和地區,在全球GooglePlay、中國AppStore的辦公軟件應用市場中排名前列,并持續保持領先地位。為適應客戶的安全可靠需求,公司自主研發的WPSOfficeLinux版本已經全面支持國產整機平臺(如:龍芯、飛騰、兆芯、申威等芯片)和國產操作系統,并在國家“十二五”、“十三五”期間的“核高基”多項重大示范工程項目中完成系統適配和應用推廣。
從關鍵技術方面來看,金山辦公重點針對數據云存儲、智能數據處理、安全云文檔以及數據協同共享等多個關鍵技術進行深入研究,通過核心技術的突破提升公司辦公安全技術水平,為用戶提供一站式、多平臺的網絡化辦公云服務應用解決方案。
截至2018年末,公司員工總數為1,911人,其中技術人員1,410人,占公司總人數73.78%,擁有專利總計164項,其中在中國境內登記的專利總計146項,在境外登記專利總計18項;被許可使用的專利總計18項,均為中國境內登記的專利。
(2)國產ERP品牌以用友、金蝶為主
2011年起,ERP的市場規模增速一度放緩,但隨著我國經濟轉型的開始,2017年ERP市場規模增速再度提高,到14.1%,ERP市場前景一片良好。
中國ERP軟件行業參與者主要分為跨國ERP巨頭、民族ERP軟件領導層、國內ERP中產階層、國內中小型ERP軟件廠商四個層次,主要企業有SAP、Oracle、IBM、用友軟件、金蝶國際、浪潮通軟、新中大、金算盤、佳軟、金航數碼、英克等企業。
ERP系統由于覆蓋鏈條長,涉及部門多,同時,企業灌流需要有較長一段時間的積累,因此該業務具有很強的行業壁壘,目前,只有部分企業從事ERP業務。
國內ERP市場,用友軟件、浪潮、金蝶國際分別以40%、20%和18%的市場占有率占據前三的位置,國外企業SAP和Oracle的總市場份額僅為17%,不及前三的企業。但在高端ERP市場,跨國ERP巨頭的市占率領先。
(3)OA已經成為目前國內企業以及政府數字化轉型升級的重要戰略工具,國內廠商主導市場
目前企業管理信息化的需求已經開始由外部推動型向企業內生自主需求轉變,以適應數字經濟時代的諸多變化,協同管理軟件已經成為目前國內企業以及政府數字化轉型升級的重要戰略工具。
根據中國軟件行業協會發布的《中國軟件和信息服務業發展報告2018》,協同管理軟件發展向好,2017年我國協同管理軟件市場發展平穩。目前國內協同管理軟件廠商已近500家,其中自有品牌超過40個,泛微網絡、致遠互聯、華天動力、藍凌等廠商占據市場主導地位。協同管理軟件市場規模持續擴大,致遠互聯、泛微網絡、藍凌等代表廠商實力不斷增強。
信息安全:
終端安全軟件成為安全可控PC及服務器的必要配套軟件設備實現安全可控雖然解決后門問題,但漏洞和信息安全問題依然存在,還需要進行安全軟件投入。黨政市場,國產終端安全主要廠商見下表:
其他應用級軟件(PDF、CAD):
國內付費意識較弱,市場規模較小,但亦為安全可控的必要一環,發展空間廣闊。PDF方面,國內市場主要廠商是美國的adobe以及福昕軟件、萬興科技。CAD方面,國內市場主要廠商為美國的歐特克有限公司(Autodesk)以及中望龍騰軟件、數碼大方科技(CAXA)、浩辰軟件、億圖軟件(萬興科技控股51%)。
黨政替換市場成為安全可控最具確定性的市場,約2000億元市場規模。中美貿易摩擦由經貿領域向科技領域延伸,外部環境變化對黨政市場安全可控形成催化,上半年30萬臺階段性目標的完成基本確定,下半年采購有望超出預期。推算2019-2020年黨政市場安全可控終端采購有望超過300萬臺,2022年前有望實現黨政替換。
中美貿易摩擦由經貿領域向科技領域延伸,安全可控是我國的必由之路,產業鏈目前應用軟件和基礎硬件的差距逐步縮小,但芯片、基礎軟件等方面的差距仍然較大,短板亟待補齊,有望成為國家重點發展領域。外部環境變化縮短我國國產替代的緩沖期,更加堅定我國發展安全可控的決心。此外,2019年上半年開始國產化設備采購已明顯提速,階段性目標的完成是確定性事件,安全可控龍頭廠商2019Q1收入均有較快的增長。(報告來源:國信證券/分析師:熊莉、于威業)
024 年 7 月 19 日,全球各地網友突然發現他們的 Windows 電腦開始頻繁出現藍屏(BSOD)故障。當他們在社交媒體上吐槽時,更嚴重的危機也蔓延到了關鍵領域,包括但不限于零售、航空、金融、醫療等。比如,美國多家主要航空公司取消航班,銀行和交易所停止服務。網絡安全研究員 Troy Hunt 認為,這可能是史上最大規模的 IT 故障。
還記得上一次全球性 Windows 系統崩潰,還發生在震蕩波/沖擊波等蠕蟲病毒肆虐的時代。在計算機網絡安全已得到空前重視的今天,這次席卷全球的 Windows 藍屏故障究竟是如何發生的呢?
盡管國內有些新聞媒體在事件剛開始的時候,將這次宕機事故簡單描述為「Windows 系統藍屏」,并將其歸咎于使用了外國的 Windows 操作系統,但這種解釋并不成立。經過簡單分析,可以發現:
這些現象表明,導致這次全球 Windows 系統藍屏宕機的罪魁禍首并非微軟,而是另有其人。
隨著網友、各個機構以及微軟的介入,這場全球 Windows 系統宕機故障的原因逐漸清晰——宕機設備都安裝了 CrowdStrike 公司的安全軟件。CrowdStrike 的產品主要用于幫助企業防范勒索軟件等黑客威脅,近年來業務擴展迅速,成為該領域的主要供應商。與傳統防病毒軟件相比,其產品屬于「端點檢測和響應」類軟件,可以不斷掃描設備上的可疑活動并自動做出響應。為了實現這種級別的防護,其組件需要作為驅動程序運行在內核級別,從而帶來了造成操作系統故障的潛在風險。
那么你肯定會覺得疑惑,CrowdStrike 是如何讓他們客戶的 Windows 電腦全部藍屏宕機的呢?
根據目前的最新情況來看,CrowdStrike 在安全配置文件上缺乏完善地測試,沒有嚴格進行環境測試和代碼審查,導致存在 Bug 的更新包未經過充分測試就被直接部署到生產環境;CrowdStrike 也缺乏應急回滾機制,在出現了藍屏問題以后不能及時撤銷新推送的安全配置文件;最后不少領域的機構用戶沒有冗余備份,單一節點故障就導致業務停擺。多個原因疊加就導致了這樣不亞于蠕蟲病毒攻擊的大范圍 IT 故障。
CrowdStrike 暴露的問題遠不止 Windows 上的問題,今年四月 CrowdStrike 的一次安全更新導致部署其服務的 Debian Linux 和 Rocky Linux 服務器無法啟動,經調查后發現是 CrowdStrike 與最新的 Debian 版本不兼容。
同時,CrowdStrike 在 Linux 事件故障響應上也備受批評,在故障發生一天后才承認故障本身,在后續更為漫長的調查后才發現問題在測試上——CrowdStrike 的測試系統矩陣中根本沒有包含最新版 Debian Linux 的配置。
當時 Rocky Linux 論壇中的記錄
而在深入挖掘 CrowdStrike 的發展史后,其實也不難發現,安全軟件導致系統崩潰這件事上,其創始人可能是個「慣犯」。
CrowdStrike 成立于 2011 年,其創始人 George Kurtz 此前是計算機安全軟件 McAfee 的首席技術官。在他任上,McAfee 也出過類似的事故——殺毒軟件將 svchost.exe 識別成惡意程序從而錯將其刪除,最終導致大量的 Windows XP SP3 循環重啟并無法上網。正是因為那次事故,導致很多 PC 用戶至今仍認為給系統安裝安全軟件反而會電腦「不穩定」。
早些年 McAfee 的類似事故
George Kurtz 曾解釋到,創建 CrowdStrike 的契機來源于一次坐航班時,隔壁乘客足足等了 15 分鐘,才讓 McAfee 軟件在自己的筆記本電腦上完全啟動。這讓他覺得需要創辦一家基于云的數據安全公司。
CrowdStrike 主要面向企業提供基于云的一攬子企業安全解決方案。這次導致大面積 Windows 藍屏宕機的是旗下名為 Falcon 的工具,該工具通過識別異常行為和漏洞來保護計算機系統免受惡意軟件等威脅。CrowdStrike 表示自 2011 年成立以來,CrowdStrike 已幫助調查了多起重大網絡攻擊,并稱擁有「最快的平均時間」來檢測威脅。
相關宣傳內容
CrowdStrike 的服務范圍不在國內,因此國內大部分的機構和個人電腦也并未受到本次 Windows 藍屏宕機的影響。
2024 年 7 月 20 日,微軟和 CrowdStrike 公布了最新的調查結果和解決方案。微軟確定了一個影響 Windows 設備運行的 CrowdStrike Falcon 問題,包括藍屏錯誤信息 0x50 和 0x7E,設備會處于反復重啟狀態。
微軟也在第一時間發布了相關內容
想要解決這個問題,IT 工程師需要重啟并進入安全模式,刪除相關目錄下名為 C-00000291*.sys 的文件,再次重啟系統即可恢復正常。由于宕機導致設備無法遠程訪問,這樣的恢復操作只能由 IT 工程師在線下手動進行。不過,云服務器中的 Windows 電腦沒有安全模式,IT 工程師需要挨個手動連接到虛擬硬盤再刪除。
與此同時,CrowdStrike 也將更新回滾,避免重現故障,至此這次事件暫時告一段落。微軟提供了專門的修復工具,輔助 IT 工程師通過 Windows PE 環境,自動刪除有問題的 CrowdStrike 文件來讓機器正常啟動;CrowdStrike 則提供了一份新的幫助文檔,來輔助 IT 工程師修復電腦;CrowdStrike 還提醒道,有新的惡意程序在以「crowdstrike-hotfix.zip」(crowdstrike 問題修復補丁)的名義在互聯網上傳播。
雖然事件暫時告一段落,但我們需要客觀和理性地看待這次事件。在事件剛發生時,很多媒體在沒有徹底了解事情緣由的情況下,斷然認為這是因為微軟 Windows 操作系統本身存在問題,并借機無腦炒作,使得本來單純的事件復雜化。
在隱私模式下用關鍵詞搜索這次事件時,不少「流量黨」借機炒作
事實上,始作俑者 CrowdStrike 主要面向企業提供服務,因此受到影響的主要是企業用戶,對于一般用戶幾乎沒有影響。微軟估計,受到此次藍屏宕機事件影響的 Windows 電腦可能有 850 萬臺大概占總數的 1%。
由于受影響的主要是服務業等「窗口行業」,在輿論傳播時,故障的嚴重程度被無形放大。國內大多數的 Windows 用戶都平安無事,沒有使用 CrowdStrike 的企業電腦也沒有受到影響。因此,單就 Windows 操作系統本身而言,依舊是可靠且值得信賴的。
這次事件確實對安全廠商的形象造成了一定損害,CrowdStrike 在軟件開發和測試過程中存在的重大漏洞是導致此次全球 Windows 藍屏宕機的根源。提醒安全廠商需要在頻繁的安全更新與充分的測試之間需要找到一個平衡點,在增強安全同時,減少風險和不確定性。
這次事件后,CrowdStrike 作為安全軟件的侵入性也被不少人所詬病,突顯了高權限防病毒和 EDR(端點檢測與響應)解決方案的潛在風險和不足。有網友認為:「為了避免類似問題的再次發生,重新設計防病毒和 EDR 解決方案,降低其對高權限的依賴,顯得尤為重要」。
當下,設計防病毒更成熟的解決方案則是采用 eBPF。eBPF 是一個內核里的虛擬機,允許開發者在不修改內核源代碼或加載內核模塊的情況下,在內核中安全地運行用戶定義的代碼。
這個特性使得 eBPF 成為一個強大的監控和過濾工具,基于 eBPF 的工具也不會讓內核崩潰。目前微軟正在全力開發 Windows 版本的 eBPF,相信未來 Windows 上安全軟件也可以移植到 eBPF 上,更安全的同時也能顯著減少這次藍屏事件的發生。
當然,我們一般用戶也不能因為此次事件就「一朝被蛇咬,十年怕井繩」,讓自己的電腦「裸奔」。畢竟此次 Windows 大面積藍屏宕機只是偶發事件,且主要影響的是企業客戶。但如果因為沒有安裝安全軟件或者關閉安全軟件而導致個人資料被加密勒索或泄漏,得不償失。