“我想向你們所有人真誠地道歉，CrowdStrike的每個人都理解這一情況的嚴重性和影響，”CrowdStrike創(chuàng)始人兼CEO George Kurtz在公司網站上的博客文章“我們對今天宕機事件的聲明”中寫道。

 

他重申了公司早先的信息，即7月19日星期五發(fā)生的事件并非網絡攻擊的結果。

 

但他用詞巧妙地暗示公司Falcon安全平臺沒有過錯，并表示事件是意外。

 

 

“宕機是由于在Windows主機的Falcon內容更新中發(fā)現的一個缺陷引起的，”Kurtz說，好像這個缺陷是他的員工發(fā)現的自然現象。

 

公司在周六的另一篇博客文章中提供了該事件的技術細節(jié)，并表示有問題的內容更新是在星期五04:09 UTC（東部時間0:09）推送到運行公司Falcon傳感器的Windows機器上的，修復程序在79分鐘后推送。

 

到那時，當然已經太晚了：許多收到更新的系統(tǒng)已經離線。

 

“運行Falcon傳感器的系統(tǒng)在下載更新配置從04:09 UTC到05:27 UTC期間，易于發(fā)生系統(tǒng)崩潰，”博客文章說。

 

在某些情況下，這些運行Falcon傳感器的系統(tǒng)崩潰導致航班延誤、呼叫中心關閉和手術取消，因為許多受影響的Windows系統(tǒng)顯示出了著名的藍屏死機。

 

盡管如此，Kurtz在給客戶的信中堅持表示，“如果安裝了Falcon傳感器，任何保護都不會受到影響。”

 

對于沒有接收到有缺陷內容更新的系統(tǒng)來說，這可能是對的。嚴格來說，一個已經不運行的系統(tǒng)不需要保護，但受影響的客戶會質疑在那關鍵的79分鐘內CrowdStrike是否真正保護了他們的系統(tǒng)。

 

 

CrowdStrike每天多次更新其Falcon平臺端點傳感器的配置文件，稱這些更新為“通道文件”。

 

公司在周六的技術博客文章中表示，缺陷存在于它稱為“通道291”的文件中。文件存儲在目錄“C:\Windows\System32\drivers\CrowdStrike\”中，文件名以“C-00000291-”開頭，以“.sys”結尾。盡管文件的位置和名稱如此，CrowdStrike堅持表示該文件不是Windows內核驅動程序。

 

通道文件291用于傳遞Falcon傳感器有關如何評估“命名管道”執(zhí)行的信息。Windows系統(tǒng)使用這些管道進行系統(tǒng)間或進程間通信，本身不是威脅，但可能被濫用。

 

“04:09 UTC發(fā)生的更新旨在針對網絡攻擊中常見C2（指揮和控制）框架使用的新觀察到的惡意命名管道，”技術博客文章解釋道。

 

然而，“配置更新觸發(fā)了一個邏輯錯誤，導致操作系統(tǒng)崩潰。”

 

 

只需從文件中移除有缺陷的內容即可阻止問題再次發(fā)生：“CrowdStrike通過更新通道文件291中的內容糾正了邏輯錯誤。”

 

但這并不能解決已經下載了有缺陷內容并崩潰的眾多Windows機器的問題。

 

對于這些機器，CrowdStrike發(fā)布了另一篇博客文章，包含一整套更長的受影響客戶需要執(zhí)行的操作，提出遠程檢測和自動恢復受影響系統(tǒng)的建議，并詳細說明了受影響物理機器或虛擬服務器的臨時解決方案。

 

“當前未受影響的系統(tǒng)將繼續(xù)正常運行，繼續(xù)提供保護，并且未來不會有發(fā)生此事件的風險，”技術博客文章總結道。

 

 

國內主流的to B IT門戶，旗下運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業(yè)網D1Net編譯，轉載需在文章開頭注明出處為：企業(yè)網D1Net，如果不注明出處，企業(yè)網D1Net將保留追究其法律責任的權利。