距離 Windows 大范圍藍(lán)屏事件,已經(jīng)過(guò)去了 6 天。
這 6 天來(lái),國(guó)內(nèi)外技術(shù)網(wǎng)站仍對(duì)此事熱議不斷,“罪魁禍?zhǔn)住?CrowdStrike 的名字被頻繁提及,與之伴隨的無(wú)一不是質(zhì)疑和譴責(zé):
CrowdStrike 引發(fā)的系統(tǒng)故障導(dǎo)致數(shù)千架航班停飛、醫(yī)院癱瘓、支付系統(tǒng)崩潰,被專家稱為史上最大的 IT 故障。
據(jù) Parametrix 保險(xiǎn)公司稱,CrowdStrike 錯(cuò)誤更新引發(fā)的全球技術(shù)中斷,使美國(guó)財(cái)富 500 強(qiáng)企業(yè)(不包括微軟)面臨 54 億美元的經(jīng)濟(jì)損失,全球經(jīng)濟(jì)損失總額可能達(dá)到 150 億美元左右。
基于此,本周 CrowdStrike 的股價(jià)已迅速暴跌超 20%。出于對(duì)引發(fā)此次故障的歉意,據(jù)悉昨日 CrowdStrike 還向其合作方均提供了一張價(jià)值 10 美元的 Uber Eats 禮品卡作為道歉:“為了表達(dá)我們的歉意,你的下一杯咖啡或夜宵由我們請(qǐng)客!”不過(guò),有收到該禮品卡的用戶表示,他們?nèi)稉Q時(shí),頁(yè)面提示稱該禮品卡“已被發(fā)行方取消,不再有效”。
除了以上聚焦于 CrowdStrike 本身的關(guān)注和報(bào)道,近日還有一個(gè)話題也在開(kāi)發(fā)者圈內(nèi)引起了不小的討論:”如果 CrowdStrike 改用 Rust 的話,全球 850 萬(wàn) PC 是不是就不會(huì)藍(lán)屏了?“
我驚訝地發(fā)現(xiàn),過(guò)去幾天發(fā)生的所有事情都是由 deref 這樣簡(jiǎn)單的錯(cuò)誤引起的。數(shù)十年來(lái),業(yè)界一直在使用 C++,所有的工具、linters、sanitizers、測(cè)試和同行評(píng)審都不足以避免這種情況的發(fā)生。因此我在想,如果改用 Rust,情況是否會(huì)大不一樣?
不僅如此,微軟 Azure 部門(mén) CTO Mark Russinovich 也在事發(fā)后轉(zhuǎn)了一條他 發(fā)布于 2022 年的推文:“說(shuō)到語(yǔ)言,現(xiàn)在是時(shí)候停止用 C/C++ 啟動(dòng)任何新項(xiàng)目了,請(qǐng)在需要使用非 GC 語(yǔ)言的情況下使用 Rust。為了安全性和可靠性,業(yè)界應(yīng)該宣布這些語(yǔ)言已被淘汰。”
眼看著不少 Rust 狂熱愛(ài)好者開(kāi)始放話“沒(méi)錯(cuò),Rust 就是唯一答案”,一位同樣喜歡 Rust 的資深軟件工程師 Julio Merino,在理智地進(jìn)行了一番全盤(pán)分析后得出結(jié)論:“就算是 Rust,也救不了這次 CrowdStrike 的中斷事故。”
以下為譯文:
我非常喜歡 Rust,也很贊同不應(yīng)繼續(xù)使用 C++ 這類內(nèi)存不安全的編程語(yǔ)言,但我還是要說(shuō):那些聲稱用 Rust 就可以避免上周五全球大面積網(wǎng)絡(luò)中斷的說(shuō)法太夸張了,對(duì) Rust 的口碑有害無(wú)益。
如果 CrowdStrike 是用 Rust 編寫(xiě)的,那確實(shí)可以降低發(fā)生故障的可能性,但它并不能解決導(dǎo)致故障發(fā)生的根本原因。所以看到許多人說(shuō) Rust 是解決這次事故的唯一答案,我就感到非常惱火——這種說(shuō)法,不僅無(wú)法推動(dòng) Rust 的普及,反而會(huì)招來(lái)反感:C++ 專家們都知道本次事故的根本原因,看到這種誤導(dǎo)性說(shuō)法必然不快,從而導(dǎo)致系統(tǒng)編程世界的進(jìn)一步分裂。
那么,為什么說(shuō) Rust 不能解決這個(gè)問(wèn)題呢?接下來(lái)我會(huì)試著回答這個(gè)問(wèn)題,同時(shí)也深入探討一下造成這次故障的原因。
故障分析
以下是來(lái)自 CrowdStrike 官方的“事后分析”:
在 2024 年 7 月 19 日 04:09 UTC,作為持續(xù)運(yùn)營(yíng)的一部分,CrowdStrike 向 Windows 系統(tǒng)發(fā)布了傳感器配置更新。傳感器配置更新是 Falcon 平臺(tái)保護(hù)機(jī)制的持續(xù)組成部分。此配置更新觸發(fā)了邏輯錯(cuò)誤,導(dǎo)致受影響的系統(tǒng)崩潰和藍(lán)屏(BSOD)
導(dǎo)致系統(tǒng)崩潰的傳感器配置更新,已于 2024 年 7 月 19 日 05:27 UTC 得到修復(fù)。
把上面這段話翻譯為“人話”,就是:
1、CrowdStrike 公司推送了一項(xiàng)配置更新。
2、該更新觸發(fā)了“Falcon 平臺(tái)”中的一個(gè)潛在 bug。
3、Falcon 中的這個(gè) bug 導(dǎo)致了 Windows 崩潰。
前兩點(diǎn)并不奇怪:對(duì)于任何在線系統(tǒng)來(lái)說(shuō),變更配置都是“家常便飯”,而這些更新引發(fā)代碼中的 bug 也是常見(jiàn)現(xiàn)象。事實(shí)上,大多數(shù)宕機(jī)事件都是由人為配置變更造成的。
顯然,我們應(yīng)該問(wèn)問(wèn)為什么這個(gè) bug 會(huì)存在,以及如何修復(fù)它以提高產(chǎn)品的穩(wěn)定性。但我們別忘了第三點(diǎn):為什么這個(gè) bug 能夠?qū)е抡_(tái)機(jī)器癱瘓?更重要的是,為什么這個(gè) bug 會(huì)讓全球如此多的系統(tǒng)宕機(jī)?
內(nèi)存錯(cuò)誤
讓我們從第一個(gè)問(wèn)題開(kāi)始:Falcon 中的 bug 是什么性質(zhì)的?
很簡(jiǎn)單:在“Channel Files”(又稱配置文件)解析器中存在一個(gè)邏輯錯(cuò)誤,當(dāng)遇到一些無(wú)效輸入時(shí),這段代碼會(huì)試圖訪問(wèn)一個(gè)無(wú)效的內(nèi)存位置。具體細(xì)節(jié)并不重要:可能是取消引用空指針,也可能是一般保護(hù)故障等等。關(guān)鍵在于:崩潰是由無(wú)效內(nèi)存訪問(wèn)問(wèn)題引發(fā)的。
這時(shí),一些 Rust 狂熱粉可能會(huì)跳出來(lái)說(shuō)::“看啊,果然!如果代碼是用 Rust 寫(xiě)的,這個(gè) bug 就不會(huì)存在!”我無(wú)法否認(rèn)這個(gè)說(shuō)法:如果用 Rust,這個(gè)特定的 bug 確實(shí)不會(huì)出現(xiàn)。
但那又怎樣?就算避免了這種類型的 bug,下一次遇到 Rust 也無(wú)法避免的 bug 時(shí),該宕機(jī)還是會(huì)宕機(jī)——無(wú)視 Falcon 的本質(zhì)問(wèn)題、只關(guān)注內(nèi)存錯(cuò)誤的行為,好比“只見(jiàn)樹(shù)木,不見(jiàn)森林”。
那么,F(xiàn)alcon 究竟是什么呢?
內(nèi)核崩潰
在我看來(lái),F(xiàn)alcon 是一種“惡意軟件......不過(guò)是好人的惡意軟件”,也就是一個(gè)終端安全系統(tǒng)。Falcon 通常安裝在企業(yè)機(jī)器上,以便安全團(tuán)隊(duì)能夠?qū)崟r(shí)檢測(cè)并解除威脅(同時(shí)監(jiān)控員工的行為)。這確實(shí)有一定價(jià)值:大多數(shù)網(wǎng)絡(luò)攻擊都是通過(guò)社會(huì)工程學(xué)手段從入侵企業(yè)機(jī)器開(kāi)始的。
這種類型的產(chǎn)品必須對(duì)機(jī)器有控制權(quán),它必須能夠攔截所有用戶的文件和網(wǎng)絡(luò)操作以掃描其內(nèi)容,并且還必須是防篡改的,以防“精明”的企業(yè)用戶在閱讀到一些網(wǎng)上修復(fù) WiFi 的可疑指導(dǎo)后嘗試禁用它,以避免提交 IT 工單。
如何實(shí)現(xiàn)像 Falcon 這樣的產(chǎn)品?最簡(jiǎn)單的方法,也是 Windows 鼓勵(lì)的方法,就是編寫(xiě)一個(gè)內(nèi)核模塊。很明顯,F(xiàn)alcon 是一個(gè)內(nèi)核模塊,因此它運(yùn)行在內(nèi)核空間。這就意味著,Falcon 代碼中的任何錯(cuò)誤都可能破壞正在運(yùn)行的內(nèi)核,進(jìn)而導(dǎo)致整個(gè)系統(tǒng)崩潰。
我所說(shuō)的“任何錯(cuò)誤”,是真的。內(nèi)核不僅會(huì)因?yàn)閮?nèi)存錯(cuò)誤而崩潰,也不一定非要“內(nèi)核崩潰”才能讓機(jī)器無(wú)法使用:死鎖會(huì)讓阻止內(nèi)核前進(jìn),系統(tǒng)調(diào)用處理程序中的邏輯錯(cuò)誤會(huì)阻止用戶空間之后打開(kāi)任何文件,一個(gè)無(wú)限遞歸算法會(huì)耗盡內(nèi)核的堆棧……破壞內(nèi)核穩(wěn)定性的方法實(shí)在是太多了,所以我說(shuō)就算是 Rust 也不能完全避免這種事故的發(fā)生。
Rust 的內(nèi)存安全性只能解決一種類型的崩潰。另外,Rust 生態(tài)系統(tǒng)中對(duì)正確性的關(guān)注也確實(shí)可以最大限度地減少其他類型邏輯錯(cuò)誤的出現(xiàn)。但是……雖然我們都希望做到完美,但也必須接受錯(cuò)誤會(huì)發(fā)生的事實(shí)——斷言 Rust 是解決問(wèn)題的唯一答案和堅(jiān)持使用 C++ 一樣,都是不負(fù)責(zé)任的行為。
要知道,在內(nèi)核空間工作的 C++ 開(kāi)發(fā)者,要比了解內(nèi)核內(nèi)部結(jié)構(gòu)的 Rust 開(kāi)發(fā)者多得多。因此,大部分 C++ 開(kāi)發(fā)者都知道這種說(shuō)法的可笑之處,同時(shí)也會(huì)增加兩個(gè)社區(qū)之間的敵意,更是完全違背了讓人們轉(zhuǎn)向安全語(yǔ)言的這個(gè)目標(biāo)。Rust 開(kāi)發(fā)者知道 Rust 確實(shí)可以改善現(xiàn)狀,但 C++ 開(kāi)發(fā)者無(wú)法接受,因?yàn)樗麄兟?tīng)到的觀點(diǎn)無(wú)法引起他們的共鳴。
從內(nèi)核空間到用戶空間
還有人說(shuō),如果 Falcon 不在內(nèi)核中運(yùn)行,就根本不會(huì)發(fā)生這種情況。嗯,這個(gè)說(shuō)法要好一點(diǎn),但……僅此一點(diǎn)也不一定就能解決問(wèn)題。
正如我之前提到的,F(xiàn)alcon 需要盡可能防篡改,防止惡意軟件對(duì)其進(jìn)行干擾,并防止被入侵的用戶試圖禁用它。如果惡意軟件或人類能夠輕易做到這一點(diǎn),那么這個(gè)產(chǎn)品就毫無(wú)用處。
現(xiàn)在,Windows 內(nèi)核完全有能力禁止類似 Falcon 的內(nèi)核模塊。相反,內(nèi)核可以暴露一系列 API,讓用戶空間的應(yīng)用程序能夠接入這些 API 來(lái)提供類似的功能。你知道嗎,微軟確實(shí)嘗試過(guò)讓 Windows 朝這個(gè)方向發(fā)展,但殺毒軟件公司威脅要以反壟斷為由起訴,結(jié)果整個(gè)計(jì)劃無(wú)疾而終。因此,我們現(xiàn)在只能忍受一個(gè)安全性較低的系統(tǒng),因?yàn)闅⒍拒浖拘枰N售那些煩人的產(chǎn)品。
但是,我們先暫時(shí)放下這個(gè)麻煩不談。即使 Falcon 運(yùn)行在用戶空間,并通過(guò)受控 API 與內(nèi)核通信……這就足以防止系統(tǒng)故障嗎?請(qǐng)注意,這些 API 也需要防篡改。試想一下,如果你希望這個(gè)用戶空間驅(qū)動(dòng)程序在內(nèi)核執(zhí)行每個(gè)二進(jìn)制文件之前進(jìn)行驗(yàn)證,也就是讓內(nèi)核在每次執(zhí)行時(shí)都需要從用戶空間驅(qū)動(dòng)程序獲得答案,而這個(gè)驅(qū)動(dòng)程序又有問(wèn)題,那么系統(tǒng)將無(wú)法再執(zhí)行任何程序。
可如果你讓內(nèi)核與驅(qū)動(dòng)程序通信變成可選項(xiàng),以便內(nèi)核可以容忍崩潰的驅(qū)動(dòng)程序,那么就等于給惡意軟件開(kāi)了一條路,它們可以先嘗試崩潰驅(qū)動(dòng)程序,然后再入侵系統(tǒng)。
因此,僅僅“遷移到用戶空間”顯然也不是解決辦法。
部署中的漏洞
如果我們必須接受 bug 的存在,而內(nèi)存相關(guān)的 bug 并不是唯一會(huì)導(dǎo)致系統(tǒng)崩潰的原因,且將驅(qū)動(dòng)程序移到用戶空間也不是很好的解決方案……那難道就無(wú)計(jì)可施了?真的沒(méi)有辦法防止這種情況發(fā)生嗎?
以上我說(shuō)的這些,都是可以(也應(yīng)該)采取的措施,以減少系統(tǒng)故障發(fā)生的概率,但我們必須接受這樣一個(gè)事實(shí):這次代碼 bug 只是特定的觸發(fā)因素,就算換一個(gè)觸發(fā)因素也可能會(huì)產(chǎn)生類似的惡果。本次全球宕機(jī)事件的根本原因,在于配置變更的發(fā)布流程。
根據(jù) SRE 101(或 DevOps,隨便你怎么叫)規(guī)定,配置變更必須分階段進(jìn)行,以緩慢和受控的方式部署,并在每個(gè)步驟進(jìn)行驗(yàn)證。這些變更應(yīng)該先在很小的范圍內(nèi)進(jìn)行驗(yàn)證,然后再向全球推送,而且每次推送都應(yīng)是漸進(jìn)的。
考慮到 Falcon 的關(guān)鍵性以及 bug 可能帶來(lái)的巨大影響,我很難相信 CrowdStrike 沒(méi)有對(duì)部署進(jìn)行任何驗(yàn)證。但根據(jù) CrowdStrike 最新更新的事后分析來(lái)看,他們確實(shí)沒(méi)有進(jìn)行任何形式的測(cè)試或金絲雀部署(在將更改推廣到整個(gè)服務(wù)集群之前,先把更改推廣到一小部分用戶進(jìn)行測(cè)試),這實(shí)在是令人難以置信的疏忽。
所以說(shuō),CrowdStrike 的部署實(shí)踐是造成此次事件的罪魁禍?zhǔn)住?/span>也就是說(shuō),這次宕機(jī)事件是一個(gè)流程問(wèn)題,而不是代碼或技術(shù)問(wèn)題,改用 Rust 也無(wú)濟(jì)于事。
CrowdStrike 發(fā)布初步審查報(bào)告,總結(jié):“測(cè)試和流程不完善”
誠(chéng)然如 Julio Merino 所說(shuō),CrowdStrike 在其官網(wǎng)最新發(fā)布了此事件的初步審查報(bào)告,并公開(kāi)了此次事件的整體時(shí)間線:
安全故障始于 2 月 28 日,當(dāng)時(shí) CrowdStrike 開(kāi)發(fā)并分發(fā)了一個(gè) Falcon 傳感器更新,旨在檢測(cè)一種新興的、利用 Windows 命名管道的攻擊技術(shù),而傳感器更新在發(fā)布前通過(guò)了常規(guī)測(cè)試。
3 月 5 日,該更新接受了壓力測(cè)試并得到驗(yàn)證,可以投入使用。因此,當(dāng)天 CrowdStrike 就向使用新的惡意命名管道檢測(cè)的客戶分發(fā)了快速響應(yīng)更新。
在 4 月 8 日-4 月 24 日期間,CrowdStrike 又推送了三次使用這種新代碼模板的快速響應(yīng)更新,并表示所有這些更新“在生產(chǎn)環(huán)境中按預(yù)期運(yùn)行”。
到了 7 月 19 日,CrowdStrike 又用 3 月份的傳感器模板發(fā)布了兩個(gè)快速響應(yīng)更新,但這次其中一個(gè)更新推送的數(shù)據(jù)格式不正確。然而,CrowdStrike 用于檢查內(nèi)容更新是否按預(yù)期運(yùn)行的驗(yàn)證系統(tǒng)有問(wèn)題,它沒(méi)有發(fā)現(xiàn)這個(gè)要推送給所有人的配置文件存在錯(cuò)誤。于是乎,這個(gè)本該停止發(fā)布的錯(cuò)誤更新就造成了全球 850 萬(wàn) PC 藍(lán)屏。
部分網(wǎng)友在看過(guò) CrowdStrike 這份冗長(zhǎng)的初步審查報(bào)告后,精辟總結(jié):“說(shuō)了這么多,就是想說(shuō)我們的測(cè)試和流程不完善,不小心把垃圾發(fā)布出來(lái)了”;“字?jǐn)?shù)驚人,但歸根結(jié)底還是測(cè)試代碼有 bug 以及測(cè)試不夠”;“不好意思,我們對(duì)此更新進(jìn)行的唯一測(cè)試,是一個(gè)沒(méi)真正通過(guò)的自動(dòng)化測(cè)試”。
因此對(duì)于這種事故原因,絕對(duì)不是改用 Rust 就能解決的,根本還是在于測(cè)試環(huán)節(jié)和部署流程的不規(guī)范。與此同時(shí),CrowdStrike 也在事后總結(jié)中表示,今后要在發(fā)布更新前增加軟件測(cè)試,并逐步推出更新,具體補(bǔ)救措施大體分為三個(gè)部分:
1、軟件彈性和測(cè)試
(1)通過(guò)使用以下測(cè)試類型改進(jìn)快速響應(yīng)內(nèi)容測(cè)試:本地開(kāi)發(fā)人員測(cè)試,內(nèi)容更新和回滾測(cè)試,壓力測(cè)試、模糊測(cè)試和故障注入,穩(wěn)定性測(cè)試和內(nèi)容接口測(cè)試;
(2)在快速反應(yīng)內(nèi)容的驗(yàn)證器中增加額外的驗(yàn)證檢查;
(3)增強(qiáng)內(nèi)容解釋器中現(xiàn)有的錯(cuò)誤處理功能。
2、快速響應(yīng)內(nèi)容部署
(1)對(duì)快速響應(yīng)內(nèi)容實(shí)施交錯(cuò)部署策略,從金絲雀部署開(kāi)始,再逐步將更新部署到更大的區(qū)域;
(2)改進(jìn)對(duì)傳感器和系統(tǒng)性能的監(jiān)控,在快速響應(yīng)內(nèi)容部署期間收集反饋信息,以指導(dǎo)分階段部署;
(3)允許用戶選擇部署的時(shí)間和位置,使其能夠更好地控制快速響應(yīng)內(nèi)容更新的交付;
(4)通過(guò)客戶可訂閱的發(fā)布說(shuō)明提供內(nèi)容更新詳情。
3、第三方驗(yàn)證
(1)進(jìn)行多個(gè)獨(dú)立的第三方安全代碼審查;
(2)對(duì)從開(kāi)發(fā)到部署的端到端質(zhì)量流程進(jìn)行獨(dú)立審查。
參考鏈接:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
https://blogsystem5.substack.com/p/crowdstrike-and-rust
大模型刷新一切,讓我們有著諸多的迷茫,AI 這股熱潮究竟會(huì)推著我們走向何方?面對(duì)時(shí)不時(shí)一夜變天,焦慮感油然而生,開(kāi)發(fā)者怎么能夠更快、更系統(tǒng)地?fù)肀Т竽P停俊缎鲁绦騿T 007》以「大模型時(shí)代,開(kāi)發(fā)者的成長(zhǎng)指南」為核心,希望撥開(kāi)層層迷霧,讓開(kāi)發(fā)者定下心地看到及擁抱未來(lái)。
讀過(guò)本書(shū)的開(kāi)發(fā)者這樣感慨道:“讓我驚喜的是,中國(guó)還有這種高質(zhì)量、貼近開(kāi)發(fā)者的雜志,我感到非常激動(dòng)。最吸引我的是里面有很多人對(duì) AI 的看法和經(jīng)驗(yàn)和一些采訪的內(nèi)容,這些內(nèi)容既真實(shí)又有價(jià)值。”
天看到微軟的相關(guān)新聞?wù)f很多windows電腦出現(xiàn)藍(lán)屏故障,一些軟件程序訪問(wèn)異常,電腦崩潰宕機(jī),導(dǎo)致無(wú)法正常辦公使用!我本人從事電腦技術(shù)工作多年,頗有感觸體會(huì),在工作中,什么樣的電腦故障都要去經(jīng)歷?什么樣的客戶都要去接觸?也來(lái)聊一聊這個(gè)電腦相關(guān)話題。
咱們電腦藍(lán)屏故障分為軟件硬件兩種。
軟件藍(lán)屏包括:軟件應(yīng)用下載安裝是否合適?驅(qū)動(dòng)程序是否安裝兼容合適?電腦系統(tǒng)是否有病毒惡意程序存在?是否經(jīng)常更新系統(tǒng)補(bǔ)丁等方面。
硬件藍(lán)屏包括:內(nèi)存條兼容性不好,內(nèi)存電路元件出現(xiàn)老化氧化故障;硬盤(pán)是否有故障和壞道;CPU是否有故障老化;顯卡是否有硬件故障等方面。
因此我們每一個(gè)電腦使用者,平時(shí)養(yǎng)成一個(gè)良好的使用習(xí)慣非常重要。我也曾經(jīng)多次真心實(shí)意和自己客戶說(shuō)過(guò)不要隨意去更新系統(tǒng),下載軟件去官網(wǎng)下載,不要在桌面存放過(guò)多的資料文件,給自己電腦系統(tǒng)安裝一個(gè)安全維護(hù)軟件,定期清理維護(hù)電腦,經(jīng)常備份拷貝你的重要資料以防止丟失!
我的忠言逆耳之言,好多客戶卻當(dāng)作笑話廢話,當(dāng)耳旁風(fēng)了,自己隨心所欲,自以為是!還和我抬杠說(shuō),電腦有自帶的安全軟件,還用什么360一類的安全軟件?將其說(shuō)的一無(wú)是處,罵罵咧咧!我也沒(méi)什么好說(shuō)的。等這些客戶最后使用電腦出現(xiàn)卡頓,速度慢,藍(lán)屏,等電腦故障,沒(méi)得說(shuō)了!
所以說(shuō),從這些工作經(jīng)歷中我總結(jié)出來(lái)了,現(xiàn)在無(wú)論一些人,一些事情?不能去掏好心,省的最后遭人煩!咱管好自己,做好自己才就好啦!
本人已開(kāi)通全網(wǎng)維權(quán),勿抄襲!
此文章是本人原創(chuàng)所作,未經(jīng)本人許可,任何個(gè)人、任何平臺(tái)不得私自轉(zhuǎn)載使用?如需轉(zhuǎn)載需要聯(lián)系本人經(jīng)過(guò)同意方可轉(zhuǎn)載并注明出處!
創(chuàng)作不易,僅說(shuō)自己觀點(diǎn)看法,有哪里說(shuō)的不對(duì)的,多多交流,多多指正![握手][握手]
T之家 7 月 21 日消息,安全公司 CrowdStrike 因其 Windows 更新導(dǎo)致全球 850 萬(wàn)臺(tái)電腦藍(lán)屏死機(jī)后,上線了全新的“修復(fù)和指南中心”(Remediation and Guidance Hub),該中心收集了與其錯(cuò)誤更新相關(guān)的詳細(xì)信息。
該頁(yè)面涵蓋了故障成因、受影響系統(tǒng)以及 CEO 喬治?庫(kù)爾茨 (George Kurtz) 的聲明等技術(shù)信息。同時(shí),頁(yè)面還提供了有關(guān) Bitlocker 密鑰恢復(fù)流程的鏈接,并包含了來(lái)自第三方廠商應(yīng)對(duì)故障的應(yīng)對(duì)指南。
IT之家注意到,該頁(yè)面還鏈接了一篇知識(shí)庫(kù)文章(僅限登錄用戶查看),介紹了如何使用可引導(dǎo) U 盤(pán)進(jìn)行修復(fù)。微軟公司已經(jīng)發(fā)布了這樣一個(gè)工具,可以自動(dòng)刪除導(dǎo)致機(jī)器藍(lán)屏死機(jī)的文件。
CrowdStrike 昨天還發(fā)布了一篇博客,警告稱攻擊者正利用此事件分發(fā)惡意軟件,“他們使用名為 crowdstrike-hotfix.zip 的惡意壓縮包”。該壓縮包包含了一個(gè)名為 HijackLoader 的惡意載荷,一旦執(zhí)行就會(huì)加載 RemCos 勒索軟件。值得一提的是,壓縮包中的西班牙文件名和說(shuō)明表明,此次攻擊活動(dòng)可能針對(duì)位于拉丁美洲 (LATAM) 的 CrowdStrike 客戶。
博客文章隨后指出:“在內(nèi)容更新問(wèn)題之后,我們還發(fā)現(xiàn)了多個(gè)模仿 CrowdStrike 的域名欺騙事件。這是我們首次觀察到攻擊者利用 Falcon 內(nèi)容問(wèn)題,針對(duì)拉美地區(qū)的 CrowdStrike 客戶散布惡意文件的案例。”
CrowdStrike 提醒用戶應(yīng)始終通過(guò)官方渠道直接與 CrowdStrike 代表合作,并僅使用其支持團(tuán)隊(duì)提供的指南。