新
闻①:
CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告:内存读取越界错误,已加强内部测试
近日因 CrowdStrike 故障导致全球约 850 万台 Windows 电脑蓝屏死机,也成为全民关注的热点事件。
7 月 24 日,CrowdStrike 官网发布了 Windows 大范围蓝屏事件初步审查报告,并表示即将在公开发布的根本原因分析中详细说明全面调查结果。
初步审查报告显示,UTC 时间 2024 年 7 月 19 日星期五 04:09(北京时间 12:09),作为常规操作的一部分,CrowdStrike 发布了 Windows 传感器的内容配置更新,以收集有关可能的新型威胁技术的遥测数据。
这些更新是 Falcon 平台动态保护机制的常规部分。然而,有问题的快速响应内容配置更新导致了 Windows 系统崩溃,影响的设备包括运行传感器版本 7.11 及更高版本的 Windows 主机。
这些主机在 UTC 时间 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 期间在线并收到了更新。Mac 和 Linux 主机不受影响。
内容更新中的缺陷已于 UTC 时间 2024 年 7 月 19 日星期五 05:27(北京时间 13:27)修复。在此时间之后上线的系统或在之前的窗口期内未连接更新的系统不受影响。
CrowdStrike 通过两种方式向传感器提供安全内容配置更新:直接随传感器附带的内容,以及快速响应内容更新。周五的问题涉及快速响应内容更新,其中存在未检测到的错误。
当传感器接收并加载到内容解释器中时,有问题的内容导致内存读取越界,从而触发异常。无法妥善处理此意外异常,导致 Windows 操作系统崩溃(BSOD)。
IT之家注意到,CrowdStrike 官方也发布了补救措施,共包括三大部分:
1、软件弹性和测试
向内容验证器添加其他验证检查,以实现快速响应内容。正在进行一项新的检查,以防止将来部署此类有问题的内容。
增强 Content Interpreter 中的现有错误处理。
2、快速响应内容部署
-
对快速响应内容实施交错部署策略,其中更新逐渐部署到传感器库的较大部分,从 Canary 部署开始。
-
改进对传感器和系统性能的监控,在快速响应内容部署期间收集反馈,以指导分阶段推出。
-
通过允许精细选择部署这些更新的时间和位置,使客户能够更好地控制快速响应内容更新的交付。
-
通过发行说明提供内容更新详细信息,客户可以订阅这些说明。
3、第三方验证
除了初步的事故后审查外,CrowdStrike 还致力于在调查完成后公开发布完整的根本原因分析。IT之家附初步审查报告原文,感兴趣的可以前往了解详细信息:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
原文链接:
https://m.ithome.com/html/784059.htm
关于蓝屏问题,这次终于有最终结论了,CrowdStrike正式发布了Windows大范围蓝屏事件初步审查报告,确定是自家更新错误导致的内存读取越界,Windows的蓝屏实际是正常的处理方式。从CrowdStrike发布的调查结果以及事件流来看,这次确实是意外,并不是某些阴谋论认为的信息攻击,CrowdStrike也承诺会有更进一步的防范措施,但……问题恐怕难以根除。
新
闻
②:
微软称与欧盟的协议影响Windows安全性,类似Crowdstrike的灾难事件难以避免
上周五,全球经历了一场历史性宕机,扰乱了金融、媒体、交通、物流等多个行业。国内也有不少用户遇到Windows系统崩溃,导致工作受到了影响,甚至提前打卡下班,关键词“微软蓝屏”直接冲上了网络热搜。随后微软首席执行官Satya Nadella
确认
,这是微软的合作伙伴CrowdStrike推出了一个软件更新后,导致装载Windows操作系统的电脑无法运行。
据TomsHardware
报道
,微软在接受媒体采访时表示,与欧盟在2009年签订的协议要求其必须授予安全软件开发商同等的Windows内核访问权限,从而导致像CrowdStrike这样的安全软件能够执行极其复杂的操作,但是微软却无法及时做出安全变更来阻止,最终出现了此次灾难事件。如果继续按照现行政策,未来不可避免地会再次发生类似的技术事故。
当初欧盟之所以这么做,是为了防止微软垄断了防病毒和其他安全套件的市场,毕竟微软自己也拥有Windows Defender。其实自进入21世纪后,欧盟就针对微软进行了多项调查,特别是对于Windows操作系统及其附带的软件,认为拥有不公平的竞争优势。为了避免欧盟的反垄断和市场竞争调查,微软选择签订了协议,允许软件供应商提供内核级别安全软件,同时也降低了Windows的安全性。
微软的主要竞争对手苹果在2020年还选择不再提供Mac的内核级别访问权,理由是提高安全性和可靠性。
原文链接:https://www.expreview.com/94942.html
为什么说问题难以根除呢?虽然这次的事情不是微软的锅,但是微软还是出来最丑了一下欧盟。原来,根据此前与欧盟的协议,微软不得不出让给了所有安全软件开发商同等的Windows内核访问权限,也就等于有了内存的完整操作权限,这才导致了这次CrowdStrike可以越界读取内存。所以,只要此协议在,未来还是会有出现此类问题的可能。当然,我也想象欧盟也有自己的考量,如果微软重新锁死内核权限,等于微软一家独大,Windows平台真正有效的安全软件可能就只剩微软自家的了……
新
闻③
:
CrowdStrike的问题不仅限于Windows,从4月起Linux用户就遇到内核瘫痪
上周五,全球经历了一场历史性宕机,扰乱了金融、媒体、交通、物流等多个行业。国内也有不少用户遇到Windows系统崩溃,导致工作受到了影响,关键词“微软蓝屏”直接冲上了网络热搜。微软首席执行官Satya Nadella确认,是CrowdStrike一款防止计算机系统遭受网络攻击的软件“Falcon Sensor”推出的更新,导致装载Windows操作系统的电脑无法运行。
据The Register
报道
,CrowdStrike的问题不仅限于Windows操作系统,其实早在今年4月,就有Linux用户一直在报告同一软件相关的内核崩溃问题,受影响的包括了使用Red Hat Enterprise Linux、Debian Linux和Rocky Linux的用户。这一定程度上说明了,CrowdStrike在Falcon Sensor软件上的松懈已经有一段时间了。
从报告来看,所有问题都在影响底层Linux内核,似乎内核版本5.14.0-42713.1及更新版本的任何Linux发行版都会崩溃。操作系统的“内核”指的是用户交互之外的层,并且最直接地连接到下面的硬件。一般情况下,很少计算机软件需要内核访问才能完成工作,安全软件算是比较例外的一种,因为威胁可能试图渗透到内核层面,但是确保软件不会导致任何目标平台的内核不稳定和崩溃仍然是非常重要的。
从这次技术事故来看,出现大问题之前还是会有警告信号的,而且在正式更新之前,针对企业和政府的更新需要更为严格的测试,以防止出现这些内核级崩溃。毕竟在实际使用环境里,大多数受影响的用户可能都没有管理访问权限,也没有解决这些问题所需的知识。
原文链接:https://www.expreview.com/94960.html
