关于 CrowdStrike 事故的技术报告和分析
针对近期有“史上最严重IT事故”之称的 Windows 全球大面积蓝屏死机问题,两个直接当事方——微软和 CrowdStrike 均已发布了相关技术报告。
7 月 24 日,CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告,并表示即将在公开发布的根本原因分析中详细说明全面调查结果。
根据报告,蓝屏死机是由内存安全问题引起的,CrowdStrike 的 CSagent 驱动程序发生了越界读取访问冲突。
初步审查报告显示,UTC 时间 2024 年 7 月 19 日星期五 04:09(北京时间 12:09),作为常规操作的一部分,CrowdStrike 发布了 Windows 传感器的内容配置更新,以收集有关可能的新型威胁技术的遥测数据。
这些更新是 Falcon 平台动态保护机制的常规部分。然而,有问题的快速响应内容配置更新导致了 Windows 系统崩溃,影响的设备包括运行传感器版本 7.11 及更高版本的 Windows 主机。
这些主机在 UTC 时间 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 期间在线并收到了更新。Mac 和 Linux 主机不受影响。
内容更新中的缺陷已于 UTC 时间 2024 年 7 月 19 日星期五 05:27(北京时间 13:27)修复。在此时间之后上线的系统或在之前的窗口期内未连接更新的系统不受影响。
CrowdStrike 通过两种方式向传感器提供安全内容配置更新:直接随传感器附带的内容,以及快速响应内容更新。周五的问题涉及快速响应内容更新,其中存在未检测到的错误。
当传感器接收并加载到内容解释器中时,有问题的内容导致内存读取越界,从而触发异常。无法妥善处理此意外异常,导致 Windows 操作系统崩溃(BSOD)。
CrowdStrike 官方也发布了补救措施,共包括三大部分:
1、软件弹性和测试
通过使用以下测试类型改进快速响应内容测试:
-
本地开发人员测试
-
内容更新和回滚测试
-
压力测试、模糊测试和故障注入
-
稳定性测试
-
内容接口测试
向内容验证器添加其他验证检查,以实现快速响应内容。正在进行一项新的检查,以防止将来部署此类有问题的内容。
增强 Content Interpreter 中的现有错误处理。
2、快速响应内容部署
-
对快速响应内容实施交错部署策略,其中更新逐渐部署到传感器库的较大部分,从 Canary 部署开始。
-
改进对传感器和系统性能的监控,在快速响应内容部署期间收集反馈,以指导分阶段推出。
-
通过允许精细选择部署这些更新的时间和位置,使客户能够更好地控制快速响应内容更新的交付。
-
通过发行说明提供内容更新详细信息,客户可以订阅这些说明。
3、第三方验证
-
进行多个独立的第三方安全代码审查。
-
对从开发到部署的端到端质量流程进行独立审查。
7 月 28 日,微软发布了因 CrowdStrike 驱动程序导致此次宕机的详细技术分析。
微软的分析证实了 CrowdStrike 的发现,即崩溃是由 CrowdStrike 的CSagent.sys驱动程序中的越界内存安全错误引起的。csagent.sys模块在 Windows 电脑上注册为文件系统过滤器驱动程序,以接收有关文件操作(包括创建或修改文件)的通知,这允许包括 CrowdStrike 在内的安全产品扫描保存到磁盘的任何新文件。
事件发生时,微软因允许第三方软件开发商进行内核级访问受到了大量批评。在博客文章中,微软解释了为何为安全产品提供内核级访问:
-
内核驱动程序允许系统范围内的可见性,并能够在启动过程早期加载,以检测启动套件和根套件等威胁,这些威胁可以在用户模式应用程序之前加载。
-
微软提供系统事件回调、文件过滤器驱动程序等功能。
-
内核驱动程序可为高吞吐量网络活动等情况提供更好的性能。
-
安全解决方案希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用,即使这些攻击者具有管理员权限。为此,Windows 在启动早期提供早期启动反恶意软件(ELAM)。
然而,内核驱动程序也需要权衡,因为它们在 Windows 最可信的级别运行,增加了风险。微软还致力于将复杂的 Windows 核心服务从内核模式迁移到用户模式,例如字体文件解析。
微软建议安全解决方案提供商在可视性和防篡改需求与内核模式操作风险之间取得平衡。例如,他们可以使用在内核模式下运行的最小传感器进行数据收集和执行,从而限制对可用性问题的暴露。其余功能,如管理更新、解析内容和其他操作,可以在用户模式下隔离进行。
微软还解释了 Windows 操作系统的内置安全功能。这些安全功能提供了多层保护,防止恶意软件和攻击企图。微软将通过微软病毒计划(MVI)与反恶意软件生态系统合作,利用 Windows 内置安全功能进一步提高安全性和可靠性。
微软目前计划:
-
提供安全部署指南、最佳实践和技术,使安全产品更新更安全。
-
减少内核驱动程序访问重要安全数据的需要。
-
通过最近宣布的 VBS 孤岛等技术提供增强的隔离和防篡改功能。
-
启用零信任方法,如高完整性认证,该方法可根据 Windows 原生安全功能的健康状况确定机器的安全状态。
截至 7 月 25 日,受此问题影响的 Windows 电脑已超过 97% 恢复在线,微软现在正着眼于防止未来出现此类问题。

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
闲鱼拟向卖家收取基础软件服务费
闲鱼社区发布公示,拟向卖家收取 0.6% 的基础软件服务费(单笔最高收取 60 元)。同时仅针对同一自然月内,产生的成交订单数量大于10件且累计成交金额大于10000元的卖家,超出后的每一笔订单实际成交额的1%收取软件服务费。 该变更将于8月9日生效,并于9月1日正式实施。
- 下一篇
FAQ | deepin 常见问题解答 · 第一弹
查看原文 大家好,基于大家在deepin下载、安装、使用过程中遇到的常见问题,我们将这些问题整理成Q&A,为大家提供参考,希望能帮助到大家 欢迎大家查看、互动讨论~ 大家也可以在 deepin 论坛上留下更多具体问题,我们后续会持续更新,更好地为大家服务。 Q1: 系统安装的推荐配置是怎样的? 推荐配置如下: 处理器:2.0GHz多核或主频更高的处理器 内存:8GB以上物理内存 硬盘:64GB以上可用硬盘空间,推荐安装于固态硬盘中 显示器:推荐1920*1080或更高的屏幕分辨率 Q2:控制中心系统升级失败或等待时间过长怎么办? 答:可以在终端使用命令sudo apt dist-upgrade跳过备份升级(有一定风险,特别是在大版本更新时)。 Q3:如何关闭任务栏桌面显示图标(四个方框) 答:通过多任务视图打开多桌面,然后将光标移到上面不要的桌面上再关闭它,只有一个桌面时,四个框框就隐藏了。 Q4:deepin V23RC版本更新丢失、异常应用安装命令。 中文名称 软件包名称 应用商店 deepin-app-store 文本编辑器 deepin-editor 截屏录像 ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Mario游戏-低调大师作品
- Linux系统CentOS6、CentOS7手动修改IP地址
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路