CrowdStrike 的错误更新在 7 月 19 日星期五导致了全球范围的技术灾难,影响了 850 万台 Windows 设备,据微软称。微软表示,这“不到所有 Windows 机器的一百分之一”,但这足以给零售商、银行、航空公司和许多其他行业以及所有依赖它们的人造成问题。
CrowdStrike 的故障解释了此次事件的核心配置文件:
上面提到的配置文件被称为“通道文件”,是 Falcon 感知器使用的行为保护机制的一部分。通道文件更新是感知器操作的正常部分,并且每天会发生多次,以应对 CrowdStrike 发现的新战术、技术和程序。这不是一个新的过程;该架构自 Falcon 诞生以来就已存在。
CrowdStrike 解释说,该文件不是内核驱动程序,而是负责“Falcon 如何评估 Windows 系统上的命名管道 1 执行”。安全研究人员兼 Objective See 创始人 Patrick Wardle 表示,该解释与他和其他人在早些时候对崩溃原因的分析一致,因为问题文件“C-00000291-”“触发了导致操作系统崩溃的逻辑错误”(通过 CSAgent.sys)。
CrowdStrike 博客中的其他摘录解释了更多出错的原因:
2024 年 7 月 19 日协调世界时 04:09,作为持续运营的一部分,CrowdStrike 向 Windows 系统发布了一个传感器配置更新。传感器配置更新是 Falcon 平台保护机制的持续部分。此配置更新触发了逻辑错误,导致受影响系统出现系统崩溃和蓝屏 (BSOD)。
哪些系统受到影响以及何时受到影响:
运行适用于 Windows 7.11 及更高版本的 Falcon 感知器的系统,这些系统从协调世界时 04:09 到 05:27 下载了更新的配置 – 容易出现系统崩溃。
Wardle 指出,CrowdStrike 的通道文件更新被推送到计算机,无论任何旨在阻止此类自动更新的设置。Wardle 指出。
