嘗試緩解新的Windows?威脅導致運行?CrowdStrike的?Falcon?傳感器的系統(tǒng)崩潰�。CrowdStrike的工程師們很快發(fā)現(xiàn)了問題,在一個多小時后就發(fā)布了修復程序�����。但對于已經"被鎖在門外"的客戶來說,恢復正常還需要一番折騰���。
來源:T. Schneider / Shutterstock
【睿觀:有一家名叫?CrowdStrike?的保安公司,為全球許多企業(yè)和組織提供安保服務����。他們開發(fā)了一套名叫"獵鷹"的高科技防盜系統(tǒng),可以自動檢測和阻止入侵者�����。
一天早上,CrowdStrike的工程師們想要升級這套系統(tǒng),讓它能識別一些新型的入侵手段����。他們寫好了新的程序,并在凌晨4點多開始向全球客戶的系統(tǒng)推送更新����。
然而,這個更新程序里不小心混進了一個bug。結果導致許多安裝了"獵鷹"系統(tǒng)的電腦突然崩潰,顯示藍屏��。就好像是保安公司不小心把防盜門鎖死了,連主人都進不去自己的房子���。
這個問題影響范圍很廣,造成了一些機場����、醫(yī)院等重要場所的系統(tǒng)癱瘓。CrowdStrike的工程師們很快發(fā)現(xiàn)了問題,在一個多小時后就發(fā)布了修復程序���。但對于已經"被鎖在門外"的客戶來說,恢復正常還需要一番折騰��。
事后,CrowdStrike的?CEO?出面道歉,并解釋了事故原因���。他強調這不是黑客攻擊,而是公司自己的失誤。這就像保安公司的老板親自登門向客戶道歉,承認是自家保安系統(tǒng)出了問題,而不是真的遭遇了入侵�。
這個事件提醒我們,即使是最先進的安全系統(tǒng),也可能因為一個小小的錯誤而導致意想不到的后果。對于依賴高科技系統(tǒng)的現(xiàn)代社會來說,如何在追求安全的同時保持系統(tǒng)的穩(wěn)定性和可靠性,是一個值得深思的問題��?�!?/em>
CrowdStrike首席執(zhí)行官向公司客戶和合作伙伴就其?Windows?系統(tǒng)崩潰而道歉�,公司還描述了導致災難的錯誤。
“我要就今天的中斷問題向大家誠摯地道歉�。CrowdStrike的所有人都明白此事的嚴重性和影響,”CrowdStrike?創(chuàng)始人兼首席執(zhí)行官喬治·庫爾茨?(George Kurtz)?在公司網站上的一篇題為“我們對今天中斷事件的聲明”的博客文章中寫道���。
他重申了公司早先的信息��,即7月?19?日星期五導致全球計算機癱瘓的事件不是網絡攻擊造成的�。
但他玩弄文字,暗示該公司的Falcon?安全平臺沒有故障���,并暗示該事件是一場意外�。
一����、是什么原因導致?CrowdStrike?崩潰?
“此次中斷是由于在Falcon?針對?Windows?主機的內容更新中發(fā)現(xiàn)的缺陷所導致的�,”庫爾茨說道��,就好像這個缺陷是他的員工發(fā)現(xiàn)的自然現(xiàn)象一樣����。
該公司在周六的另一篇博客文章中提供了該事件的技術細節(jié)�����,文中稱�,有問題的更新內容于上周五世界標準時間04:09(美國東部時間?0:09)被推送到運行該公司?Falcon?傳感器的?Windows?機器上,僅在?79?分鐘后就發(fā)布了修復程序�����。
【睿觀:獵鷹傳感器(Falcon)是網絡安全公司CrowdStrike開發(fā)的一款軟件�����,用于在Windows電腦上收集安全數(shù)據(jù)�����。它作為CrowdStrike Falcon平臺的一部分����,旨在檢測和阻止惡意軟件���、病毒和其他網絡威脅。
此次事件表明����,安全軟件本身也存在漏洞,可能會導致意想不到的后果�。對于個人和企業(yè)來說,及時更新安全軟件并安裝補丁非常重要�,但也要有網絡安全的應急預案。
以下是一些關于獵鷹傳感器的額外信息:
獵鷹傳感器使用多種技術來收集安全數(shù)據(jù)���,包括文件系統(tǒng)監(jiān)控��、網絡活動監(jiān)控和應用程序行為監(jiān)控。
獵鷹傳感器可以檢測各種類型的威脅�,包括惡意軟件、病毒��、間諜軟件����、僵尸網絡和網絡釣魚攻擊。
獵鷹傳感器可以將威脅數(shù)據(jù)發(fā)送到CrowdStrike Falcon平臺進行分析和處理����。
CrowdStrike Falcon平臺可以自動響應威脅���,并向安全團隊提供有關威脅的信息。】
當然�����,到那時已經太晚了:許多收到更新的系統(tǒng)已經離線�。
博客文章稱:“運行適用于Windows 7.11?及更高版本的?Falcon?傳感器的系統(tǒng),如果在?UTC?時間?04:09?至?UTC?時間?05:27?下載了更新的配置����,則容易發(fā)生系統(tǒng)崩潰?�!?/span>
在某些情況下�����,運行Falcon?傳感器的系統(tǒng)崩潰會導致航班錯過�、呼叫中心關閉和手術取消,因為許多受影響的?Windows?系統(tǒng)顯示了臭名昭著的藍屏死機��。
盡管如此,庫爾茨在給客戶的信中堅稱����,“安裝Falcon?傳感器不會對任何保護產生影響?�!?/span>
對于未收到有缺陷的內容更新的系統(tǒng)來說���,情況可能確實如此�����,嚴格來說����,不再運行的系統(tǒng)不需要保護��,但受影響的客戶會質疑CrowdStrike?是否在關鍵的?79?分鐘內真正保護了他們的系統(tǒng)��。
二��、CrowdStrike?的缺陷內容更新包含什么���?
CrowdStrike每天會多次更新其?Falcon?平臺端點傳感器的配置文件。它將這些更新稱為“通道文件”�。
該公司在周六的技術博客文章中表示����,缺陷出現(xiàn)在其稱為“通道291”的文件中�����。該文件存儲在名為“C:\Windows\System32\drivers\CrowdStrike\”的目錄中���,文件名以“C-00000291-”開頭�,以“.sys”結尾��。CrowdStrike?堅稱���,盡管文件的位置和名稱不同���,但該文件并不是?Windows?內核驅動程序。
通道文件291?用于向?Falcon?傳感器傳遞有關如何評估“命名管道”執(zhí)行的信息�����。Windows?系統(tǒng)使用這些管道進行系統(tǒng)間或進程間通信���,它們本身并不構成威脅 — — 盡管它們可能會被濫用�。
技術博客文章解釋說:“UTC時間?04:09?進行的更新旨在針對網絡攻擊中常見?C2 [命令和控制]?框架所使用的新觀察到的惡意命名管道?����!?/span>
然而��,它表示�����,“配置更新觸發(fā)了邏輯錯誤�����,導致操作系統(tǒng)崩潰�����。”
三����、快速修復,但恢復緩慢
要阻止問題再次發(fā)生�,只需從文件中刪除有缺陷的內容:“CrowdStrike已通過更新頻道文件?291?中的內容糾正了邏輯錯誤?!?/span>
但這并不能解決大量已經下載了缺陷內容并崩潰的Windows?機器的問題。
針對這些問題���,CrowdStrike發(fā)布了另一篇博文����,其中包含受影響客戶需要執(zhí)行的更長的一系列操作����,包括遠程檢測和自動恢復受影響系統(tǒng)的建議,以及針對受影響的物理機或虛擬服務器的臨時解決方法的詳細說明����。
技術博客文章總結道:“目前未受影響的系統(tǒng)將繼續(xù)按預期運行,繼續(xù)提供保護����,并且不會在未來遭遇此事件的風險?��!?/span>
修復方法可“點擊原文”?
