嘗試緩解新的Windows?威脅導(dǎo)致運(yùn)行?CrowdStrike的?Falcon?傳感器的系統(tǒng)崩潰。CrowdStrike的工程師們很快發(fā)現(xiàn)了問(wèn)題,在一個(gè)多小時(shí)后就發(fā)布了修復(fù)程序�。但對(duì)于已經(jīng)"被鎖在門外"的客戶來(lái)說(shuō),恢復(fù)正常還需要一番折騰。
來(lái)源:T. Schneider / Shutterstock
【睿觀:有一家名叫?CrowdStrike?的保安公司,為全球許多企業(yè)和組織提供安保服務(wù)�。他們開發(fā)了一套名叫"獵鷹"的高科技防盜系統(tǒng),可以自動(dòng)檢測(cè)和阻止入侵者。
一天早上,CrowdStrike的工程師們想要升級(jí)這套系統(tǒng),讓它能識(shí)別一些新型的入侵手段����。他們寫好了新的程序,并在凌晨4點(diǎn)多開始向全球客戶的系統(tǒng)推送更新。
然而,這個(gè)更新程序里不小心混進(jìn)了一個(gè)bug�����。結(jié)果導(dǎo)致許多安裝了"獵鷹"系統(tǒng)的電腦突然崩潰,顯示藍(lán)屏����。就好像是保安公司不小心把防盜門鎖死了,連主人都進(jìn)不去自己的房子。
這個(gè)問(wèn)題影響范圍很廣,造成了一些機(jī)場(chǎng)、醫(yī)院等重要場(chǎng)所的系統(tǒng)癱瘓�����。CrowdStrike的工程師們很快發(fā)現(xiàn)了問(wèn)題,在一個(gè)多小時(shí)后就發(fā)布了修復(fù)程序�����。但對(duì)于已經(jīng)"被鎖在門外"的客戶來(lái)說(shuō),恢復(fù)正常還需要一番折騰���。
事后,CrowdStrike的?CEO?出面道歉,并解釋了事故原因���。他強(qiáng)調(diào)這不是黑客攻擊,而是公司自己的失誤。這就像保安公司的老板親自登門向客戶道歉,承認(rèn)是自家保安系統(tǒng)出了問(wèn)題,而不是真的遭遇了入侵�����。
這個(gè)事件提醒我們,即使是最先進(jìn)的安全系統(tǒng),也可能因?yàn)橐粋€(gè)小小的錯(cuò)誤而導(dǎo)致意想不到的后果�����。對(duì)于依賴高科技系統(tǒng)的現(xiàn)代社會(huì)來(lái)說(shuō),如何在追求安全的同時(shí)保持系統(tǒng)的穩(wěn)定性和可靠性,是一個(gè)值得深思的問(wèn)題�。】
CrowdStrike首席執(zhí)行官向公司客戶和合作伙伴就其?Windows?系統(tǒng)崩潰而道歉����,公司還描述了導(dǎo)致災(zāi)難的錯(cuò)誤��。
“我要就今天的中斷問(wèn)題向大家誠(chéng)摯地道歉���。CrowdStrike的所有人都明白此事的嚴(yán)重性和影響,”CrowdStrike?創(chuàng)始人兼首席執(zhí)行官喬治·庫(kù)爾茨?(George Kurtz)?在公司網(wǎng)站上的一篇題為“我們對(duì)今天中斷事件的聲明”的博客文章中寫道�。
他重申了公司早先的信息,即7月?19?日星期五導(dǎo)致全球計(jì)算機(jī)癱瘓的事件不是網(wǎng)絡(luò)攻擊造成的����。
但他玩弄文字��,暗示該公司的Falcon?安全平臺(tái)沒(méi)有故障�,并暗示該事件是一場(chǎng)意外。
一��、是什么原因?qū)е?CrowdStrike?崩潰��?
“此次中斷是由于在Falcon?針對(duì)?Windows?主機(jī)的內(nèi)容更新中發(fā)現(xiàn)的缺陷所導(dǎo)致的����,”庫(kù)爾茨說(shuō)道,就好像這個(gè)缺陷是他的員工發(fā)現(xiàn)的自然現(xiàn)象一樣����。
該公司在周六的另一篇博客文章中提供了該事件的技術(shù)細(xì)節(jié)����,文中稱��,有問(wèn)題的更新內(nèi)容于上周五世界標(biāo)準(zhǔn)時(shí)間04:09(美國(guó)東部時(shí)間?0:09)被推送到運(yùn)行該公司?Falcon?傳感器的?Windows?機(jī)器上�,僅在?79?分鐘后就發(fā)布了修復(fù)程序。
【睿觀:獵鷹傳感器(Falcon)是網(wǎng)絡(luò)安全公司CrowdStrike開發(fā)的一款軟件��,用于在Windows電腦上收集安全數(shù)據(jù)����。它作為CrowdStrike Falcon平臺(tái)的一部分,旨在檢測(cè)和阻止惡意軟件���、病毒和其他網(wǎng)絡(luò)威脅���。
此次事件表明,安全軟件本身也存在漏洞�,可能會(huì)導(dǎo)致意想不到的后果。對(duì)于個(gè)人和企業(yè)來(lái)說(shuō)�,及時(shí)更新安全軟件并安裝補(bǔ)丁非常重要,但也要有網(wǎng)絡(luò)安全的應(yīng)急預(yù)案��。
以下是一些關(guān)于獵鷹傳感器的額外信息:
獵鷹傳感器使用多種技術(shù)來(lái)收集安全數(shù)據(jù),包括文件系統(tǒng)監(jiān)控����、網(wǎng)絡(luò)活動(dòng)監(jiān)控和應(yīng)用程序行為監(jiān)控。
獵鷹傳感器可以檢測(cè)各種類型的威脅���,包括惡意軟件�、病毒����、間諜軟件�����、僵尸網(wǎng)絡(luò)和網(wǎng)絡(luò)釣魚攻擊���。
獵鷹傳感器可以將威脅數(shù)據(jù)發(fā)送到CrowdStrike Falcon平臺(tái)進(jìn)行分析和處理。
CrowdStrike Falcon平臺(tái)可以自動(dòng)響應(yīng)威脅�,并向安全團(tuán)隊(duì)提供有關(guān)威脅的信息。】
當(dāng)然����,到那時(shí)已經(jīng)太晚了:許多收到更新的系統(tǒng)已經(jīng)離線。
博客文章稱:“運(yùn)行適用于Windows 7.11?及更高版本的?Falcon?傳感器的系統(tǒng)�,如果在?UTC?時(shí)間?04:09?至?UTC?時(shí)間?05:27?下載了更新的配置,則容易發(fā)生系統(tǒng)崩潰��?�!?/span>
在某些情況下,運(yùn)行Falcon?傳感器的系統(tǒng)崩潰會(huì)導(dǎo)致航班錯(cuò)過(guò)����、呼叫中心關(guān)閉和手術(shù)取消,因?yàn)樵S多受影響的?Windows?系統(tǒng)顯示了臭名昭著的藍(lán)屏死機(jī)�。
盡管如此,庫(kù)爾茨在給客戶的信中堅(jiān)稱�,“安裝Falcon?傳感器不會(huì)對(duì)任何保護(hù)產(chǎn)生影響?����!?/span>
對(duì)于未收到有缺陷的內(nèi)容更新的系統(tǒng)來(lái)說(shuō)���,情況可能確實(shí)如此���,嚴(yán)格來(lái)說(shuō),不再運(yùn)行的系統(tǒng)不需要保護(hù)�����,但受影響的客戶會(huì)質(zhì)疑CrowdStrike?是否在關(guān)鍵的?79?分鐘內(nèi)真正保護(hù)了他們的系統(tǒng)�����。
二��、CrowdStrike?的缺陷內(nèi)容更新包含什么�?
CrowdStrike每天會(huì)多次更新其?Falcon?平臺(tái)端點(diǎn)傳感器的配置文件。它將這些更新稱為“通道文件”��。
該公司在周六的技術(shù)博客文章中表示�,缺陷出現(xiàn)在其稱為“通道291”的文件中�����。該文件存儲(chǔ)在名為“C:\Windows\System32\drivers\CrowdStrike\”的目錄中����,文件名以“C-00000291-”開頭����,以“.sys”結(jié)尾���。CrowdStrike?堅(jiān)稱���,盡管文件的位置和名稱不同,但該文件并不是?Windows?內(nèi)核驅(qū)動(dòng)程序�。
通道文件291?用于向?Falcon?傳感器傳遞有關(guān)如何評(píng)估“命名管道”執(zhí)行的信息。Windows?系統(tǒng)使用這些管道進(jìn)行系統(tǒng)間或進(jìn)程間通信�,它們本身并不構(gòu)成威脅 — — 盡管它們可能會(huì)被濫用。
技術(shù)博客文章解釋說(shuō):“UTC時(shí)間?04:09?進(jìn)行的更新旨在針對(duì)網(wǎng)絡(luò)攻擊中常見?C2 [命令和控制]?框架所使用的新觀察到的惡意命名管道����。”
然而�����,它表示��,“配置更新觸發(fā)了邏輯錯(cuò)誤���,導(dǎo)致操作系統(tǒng)崩潰�。”
三、快速修復(fù)��,但恢復(fù)緩慢
要阻止問(wèn)題再次發(fā)生�����,只需從文件中刪除有缺陷的內(nèi)容:“CrowdStrike已通過(guò)更新頻道文件?291?中的內(nèi)容糾正了邏輯錯(cuò)誤���?���!?/span>
但這并不能解決大量已經(jīng)下載了缺陷內(nèi)容并崩潰的Windows?機(jī)器的問(wèn)題�����。
針對(duì)這些問(wèn)題�����,CrowdStrike發(fā)布了另一篇博文�,其中包含受影響客戶需要執(zhí)行的更長(zhǎng)的一系列操作�����,包括遠(yuǎn)程檢測(cè)和自動(dòng)恢復(fù)受影響系統(tǒng)的建議,以及針對(duì)受影響的物理機(jī)或虛擬服務(wù)器的臨時(shí)解決方法的詳細(xì)說(shuō)明����。
技術(shù)博客文章總結(jié)道:“目前未受影響的系統(tǒng)將繼續(xù)按預(yù)期運(yùn)行,繼續(xù)提供保護(hù)��,并且不會(huì)在未來(lái)遭遇此事件的風(fēng)險(xiǎn)����。”
修復(fù)方法可“點(diǎn)擊原文”?
