CrowdStrike 故障技术剖析:配置更新中的逻辑错误导致 Windows 蓝屏
2024 年 7 月 19 日,CrowdStrike 发布的一次配置更新引发了全球性故障,导致大量 Windows 设备出现蓝屏。
故障源于 CrowdStrike Falcon 安全软件中的一个名为「通道文件」(Channel File)的配置组件。这些文件位于 Windows 系统的
CrowdStrike 表示,这次更新原本旨在针对新观察到的恶意命名管道(named pipes)提供保护,这些管道常被用于网络攻击中的命令与控制(C2)框架。然而,配置更新触发了逻辑错误,导致操作系统崩溃。公司强调,这个问题并非由网络攻击引起,而是一个软件缺陷。
受影响的系统主要是运行 CrowdStrike Falcon 7.11 及以上版本的 Windows 设备,且在 7 月 19 日 04:09 UTC 至 05:27 UTC 期间在线并下载了更新配置。CrowdStrike 在发现问题后迅速发布了修复,并在其支持门户和博客上提供了最新的修复建议和信息。
Microsoft 在其博客中补充说明,这个故障影响了约 850 万台 Windows 设备,占全球 Windows 设备总数的不到 1%。尽管比例较小,但由于 CrowdStrike 的客户多为运营关键服务的企业,故障造成了广泛的经济和社会影响。
为了加速修复进程,CrowdStrike 承诺进行彻底的根本原因分析,以确定逻辑错误的发生原因,并改进其流程以防止类似问题再次发生。公司首席执行官 George Kurtz 也在博客中向受影响的客户致歉,并强调将继续改进流程,以增强系统的稳定性和安全性。
(CrowdStrike 官方博客、Microsoft 博客、SC Magazine)
2024 年 7 月 19 日,CrowdStrike 发布的一次配置更新引发了全球性故障,导致大量 Windows 设备出现蓝屏。
故障源于 CrowdStrike Falcon 安全软件中的一个名为「通道文件」(Channel File)的配置组件。这些文件位于 Windows 系统的
C:\Windows\System32\drivers\CrowdStrike\ 目录下,文件名以「C-00000291-」开头,以「.sys」结尾。在 7 月 19 日 04:09 UTC 发布的更新中,编号为 291 的通道文件包含了一个逻辑错误,导致运行 CrowdStrike Falcon 软件的 Windows 系统崩溃并出现蓝屏。CrowdStrike 表示,这次更新原本旨在针对新观察到的恶意命名管道(named pipes)提供保护,这些管道常被用于网络攻击中的命令与控制(C2)框架。然而,配置更新触发了逻辑错误,导致操作系统崩溃。公司强调,这个问题并非由网络攻击引起,而是一个软件缺陷。
受影响的系统主要是运行 CrowdStrike Falcon 7.11 及以上版本的 Windows 设备,且在 7 月 19 日 04:09 UTC 至 05:27 UTC 期间在线并下载了更新配置。CrowdStrike 在发现问题后迅速发布了修复,并在其支持门户和博客上提供了最新的修复建议和信息。
Microsoft 在其博客中补充说明,这个故障影响了约 850 万台 Windows 设备,占全球 Windows 设备总数的不到 1%。尽管比例较小,但由于 CrowdStrike 的客户多为运营关键服务的企业,故障造成了广泛的经济和社会影响。
为了加速修复进程,CrowdStrike 承诺进行彻底的根本原因分析,以确定逻辑错误的发生原因,并改进其流程以防止类似问题再次发生。公司首席执行官 George Kurtz 也在博客中向受影响的客户致歉,并强调将继续改进流程,以增强系统的稳定性和安全性。
(CrowdStrike 官方博客、Microsoft 博客、SC Magazine)
