本文来源:企业网D1net
CrowdStrike公司因推送有缺陷的Falcon内容更新导致全球Windows系统崩溃,其CEO George Kurtz向客户和合作伙伴致歉,并详细解释了导致这次灾难的错误。
CrowdStrike的CEO向公司的客户和合作伙伴致歉,因为他们的Windows系统崩溃,并详细描述了导致灾难的错误。
“我想向你们所有人真诚地道歉,CrowdStrike的每个人都理解这一情况的严重性和影响,”CrowdStrike创始人兼CEO George Kurtz在公司网站上的博客文章“我们对今天宕机事件的声明”中写道。
他重申了公司早先的信息,即7月19日星期五发生的事件并非网络攻击的结果。
但他用词巧妙地暗示公司Falcon安全平台没有过错,并表示事件是意外。
是什么导致了CrowdStrike的崩溃?
“宕机是由于在Windows主机的Falcon内容更新中发现的一个缺陷引起的,”Kurtz说,好像这个缺陷是他的员工发现的自然现象。
公司在周六的另一篇博客文章中提供了该事件的技术细节,并表示有问题的内容更新是在星期五04:09 UTC(东部时间0:09)推送到运行公司Falcon传感器的Windows机器上的,修复程序在79分钟后推送。
到那时,当然已经太晚了:许多收到更新的系统已经离线。
“运行Falcon传感器的系统在下载更新配置从04:09 UTC到05:27 UTC期间,易于发生系统崩溃,”博客文章说。
在某些情况下,这些运行Falcon传感器的系统崩溃导致航班延误、呼叫中心关闭和手术取消,因为许多受影响的Windows系统显示出了著名的蓝屏死机。
尽管如此,Kurtz在给客户的信中坚持表示,“如果安装了Falcon传感器,任何保护都不会受到影响。”
对于没有接收到有缺陷内容更新的系统来说,这可能是对的。严格来说,一个已经不运行的系统不需要保护,但受影响的客户会质疑在那关键的79分钟内CrowdStrike是否真正保护了他们的系统。
CrowdStrike有缺陷的内容更新包含什么?
CrowdStrike每天多次更新其Falcon平台端点传感器的配置文件,称这些更新为“通道文件”。
公司在周六的技术博客文章中表示,缺陷存在于它称为“通道291”的文件中。文件存储在目录“C:\Windows\System32\drivers\CrowdStrike\”中,文件名以“C-00000291-”开头,以“.sys”结尾。尽管文件的位置和名称如此,CrowdStrike坚持表示该文件不是Windows内核驱动程序。
通道文件291用于传递Falcon传感器有关如何评估“命名管道”执行的信息。Windows系统使用这些管道进行系统间或进程间通信,本身不是威胁,但可能被滥用。
“04:09 UTC发生的更新旨在针对网络攻击中常见C2(指挥和控制)框架使用的新观察到的恶意命名管道,”技术博客文章解释道。
然而,“配置更新触发了一个逻辑错误,导致操作系统崩溃。”
快速修复,但恢复缓慢
只需从文件中移除有缺陷的内容即可阻止问题再次发生:“CrowdStrike通过更新通道文件291中的内容纠正了逻辑错误。”
但这并不能解决已经下载了有缺陷内容并崩溃的众多Windows机器的问题。
对于这些机器,CrowdStrike发布了另一篇博客文章,包含一整套更长的受影响客户需要执行的操作,提出远程检测和自动恢复受影响系统的建议,并详细说明了受影响物理机器或虚拟服务器的临时解决方案。
“当前未受影响的系统将继续正常运行,继续提供保护,并且未来不会有发生此事件的风险,”技术博客文章总结道。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。封面图片来源于摄图网
(来源:企业网D1Net)
如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿。
投稿邮箱:
editor@d1net.com
合作电话:
010-58221588(北京公司)
021-51701588(上海公司)
合作邮箱:
Sales@d1net.com
企业网D1net旗下信众智是CIO(首席信息官)的专家库和智力输出及资源分享平台,有五万多CIO专家,也是目前最大的CIO社交平台。
信众智对接CIO为CIO服务,提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内最早的toB共享经济平台。同时提供猎头,选型点评,IT部门业绩宣传等服务。
