据微软昨晚发布的新闻稿称,CrowdStrike的错误更新引发了一场全球性的技术灾难,周五有850万台Windows设备受到影响。微软称,这"不到所有Windows机器的百分之一",但足以给零售商、银行、航空公司和许多其他行业以及所有依赖它们的人带来麻烦。
另外,CrowdStrike周五发布的技术细节进一步解释了发生了什么以及为什么这么多系统同时受到影响。
CrowdStrike的分析解释了问题核心的配置文件:
上述配置文件被称为"通道文件",是猎鹰传感器使用的行为保护机制的一部分。对通道文件的更新是传感器运行的正常部分,每天会根据CrowdStrike发现的新战术、技术和程序进行多次更新。这并不是一个新流程;自Falcon开发完毕以来,该架构就已存在。
CrowdStrike解释说,该文件不是内核驱动程序,而是负责"Falcon如何在Windows系统上评估命名管道1的执行"。安全研究员、ObjectiveSee创始人帕特里克-沃德尔(PatrickWardle)说,这一解释与他和其他人早些时候提供的关于崩溃原因的分析一致,因为问题文件"C-00000291-"(通过CSAgent.sys)"触发了导致操作系统崩溃的逻辑错误"。
CrowdStrike博客的其他摘录进一步解释了出错的原因:
世界协调时2024年7月19日04:09时,作为持续运行的一部分,CrowdStrike向Windows系统发布了传感器配置更新。传感器配置更新是猎鹰平台保护机制的持续组成部分。该配置更新引发了逻辑错误,导致受影响系统出现系统崩溃和蓝屏(BSOD)。
哪些系统受到影响,何时受到影响:
运行FalconsensorforWindows7.11及以上版本的系统在04:09UTC至05:27UTC下载更新配置时,容易发生系统崩溃。
Wardle指出,CrowdStrike的通道文件更新被推送到计算机上,而不考虑任何旨在阻止此类自动更新的设置。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】