“我想向你们所有人真诚地道歉,CrowdStrike的每个人都理解这一情况的严重性和影响,”CrowdStrike创始人兼CEO George Kurtz在公司网站上的博客文章“我们对今天宕机事件的声明”中写道。
他重申了公司早先的信息,即7月19日星期五发生的事件并非网络攻击的结果。
但他用词巧妙地暗示公司Falcon安全平台没有过错,并表示事件是意外。
是什么导致了CrowdStrike的崩溃?
“宕机是由于在Windows主机的Falcon内容更新中发现的一个缺陷引起的,”Kurtz说,好像这个缺陷是他的员工发现的自然现象。
公司在周六的另一篇博客文章中提供了该事件的技术细节,并表示有问题的内容更新是在星期五04:09 UTC(东部时间0:09)推送到运行公司Falcon传感器的Windows机器上的,修复程序在79分钟后推送。
到那时,当然已经太晚了:许多收到更新的系统已经离线。
“运行Falcon传感器的系统在下载更新配置从04:09 UTC到05:27 UTC期间,易于发生系统崩溃,”博客文章说。
在某些情况下,这些运行Falcon传感器的系统崩溃导致航班延误、呼叫中心关闭和手术取消,因为许多受影响的Windows系统显示出了著名的蓝屏死机。
尽管如此,Kurtz在给客户的信中坚持表示,“如果安装了Falcon传感器,任何保护都不会受到影响。”
对于没有接收到有缺陷内容更新的系统来说,这可能是对的。严格来说,一个已经不运行的系统不需要保护,但受影响的客户会质疑在那关键的79分钟内CrowdStrike是否真正保护了他们的系统。
CrowdStrike有缺陷的内容更新包含什么?
CrowdStrike每天多次更新其Falcon平台端点传感器的配置文件,称这些更新为“通道文件”。
公司在周六的技术博客文章中表示,缺陷存在于它称为“通道291”的文件中。文件存储在目录“C:\Windows\System32\drivers\CrowdStrike\”中,文件名以“C-00000291-”开头,以“.sys”结尾。尽管文件的位置和名称如此,CrowdStrike坚持表示该文件不是Windows内核驱动程序。
通道文件291用于传递Falcon传感器有关如何评估“命名管道”执行的信息。Windows系统使用这些管道进行系统间或进程间通信,本身不是威胁,但可能被滥用。
“04:09 UTC发生的更新旨在针对网络攻击中常见C2(指挥和控制)框架使用的新观察到的恶意命名管道,”技术博客文章解释道。
然而,“配置更新触发了一个逻辑错误,导致操作系统崩溃。”
快速修复,但恢复缓慢
只需从文件中移除有缺陷的内容即可阻止问题再次发生:“CrowdStrike通过更新通道文件291中的内容纠正了逻辑错误。”
但这并不能解决已经下载了有缺陷内容并崩溃的众多Windows机器的问题。
对于这些机器,CrowdStrike发布了另一篇博客文章,包含一整套更长的受影响客户需要执行的操作,提出远程检测和自动恢复受影响系统的建议,并详细说明了受影响物理机器或虚拟服务器的临时解决方案。
“当前未受影响的系统将继续正常运行,继续提供保护,并且未来不会有发生此事件的风险,”技术博客文章总结道。
企业网D1net(www.d1net.com):
国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号