试图缓解一种新型Windows威胁的措施,却意外导致运行CrowdStrike Falcon传感器的系统崩溃。对此,CrowdStrike的首席执行官向公司客户和合作伙伴致歉,并详细描述了导致此次灾难的错误。
“我诚挚地向你们所有人为今天的系统停机道歉。”CrowdStrike的创始人兼首席执行官George Kurtz在公司网站上的一篇题为“关于今日系统停机的声明”的博客文章中写道,他强调整个CrowdStrike团队都深知此次事件的严重性和影响。
他重申了公司之前的信息,即7月19日星期五导致全球计算机瘫痪的事件并非网络攻击的结果。然而,他措辞谨慎,暗示该公司的Falcon安全平台并未出现故障,而是将此次事件定性为一次意外。
那么,是什么导致了CrowdStrike的系统崩溃呢?Kurtz解释道:“停机是由Windows主机的Falcon内容更新中发现的一个缺陷引起的。”他似乎在暗示这个缺陷是员工在更新过程中意外发现的。
该公司在周六发布的一篇提供此次事件技术细节的博客文章中表示,有缺陷的内容更新于周五世界标准时间04:09(东部时间00:09)被推送到运行Falcon传感器的Windows机器上,而修复程序仅在79分钟后就被推出。然而,为时已晚,许多收到该更新的系统已经离线。
博客文章指出:“运行Windows 7.11及更高版本的Falcon传感器的系统,在UTC时间04:09至05:27之间下载了更新配置,这些系统容易发生崩溃。”
在某些情况下,运行Falcon传感器的系统崩溃导致了严重的后果,如错过航班、呼叫中心关闭以及手术取消,因为许多受影响的Windows系统出现了臭名昭著的蓝屏死机。尽管如此,Kurtz在给客户的信中仍坚持认为:“如果安装了Falcon传感器,不会对任何保护产生影响。”然而,对于没有收到有缺陷内容更新的系统来说,这可能确实如此,但严格来说,已经崩溃的系统无需再保护,而受影响的客户则会质疑CrowdStrike在这关键的79分钟内是否真正保护了他们的系统。
那么,CrowdStrike的有缺陷内容更新中到底包含了什么呢?CrowdStrike每天多次更新其Falcon平台端点传感器的配置文件,称之为“频道文件”。该公司在周六的技术博客文章中表示,缺陷存在于他们称之为291频道的文件中。该文件存储在名为“C:\Windows\System32\drivers\CrowdStrike\”的目录中,文件名以“C-00000291-”开头,以“.sys”结尾。尽管文件的位置和名称如此,但CrowdStrike坚称该文件并非Windows内核驱动程序。
频道文件291用于传递关于如何评估“命名管道”执行的Falcon传感器信息。Windows系统使用这些管道进行系统间或进程间通信,本身并不构成威胁——尽管它们可能会被滥用。
技术博客文章解释说:“UTC 04:09发生的更新旨在针对网络攻击中常见的C2[命令和控制]框架使用的新观察到的恶意命名管道。”然而,它指出:“配置更新触发了逻辑错误,导致操作系统崩溃。”
虽然修复迅速,但恢复缓慢。为了阻止问题再次发生,CrowdStrike只需从文件中删除有缺陷的内容即可:“CrowdStrike通过更新Channel File 291中的内容纠正了逻辑错误。”然而,对于许多已经下载了有缺陷内容的Windows机器来说,这并没有解决问题,因为它们已经崩溃。对于这些人,CrowdStrike发布了另一篇博客文章,其中包含一组更详细的操作步骤,供受影响的客户执行,包括远程检测和自动恢复受影响系统的建议,以及针对受影响的物理机器或虚拟服务器的临时解决方案的详细说明。
技术博客文章总结道:“目前未受影响的系统将继续按预期运行,继续提供保护,并且没有未来经历此类事件的风险。”