2024-07-25 www.dnxtw.com
电脑系统网 7 月 25 日消息,近日因 CrowdStrike 故障导致全球约会 850 万台 Windows 电脑蓝屏死机也成为全民关注的热点事件。
7 月 24 日,CrowdStrike 官网发布了 Windows 大规模蓝屏事件初步审查报告,并表示将在公开发布的根本原因分析中详细说明综合调查结果。
初步审查报告显示,UTC 时间 2024 年 7 月 19 日星期五 04:09(北京时间 12:09),作为常规操作的一部分,CrowdStrike 发布了 Windows 为了收集可能的新威胁技术的遥测数据,更新了传感器的内容配置。
这些更新是 Falcon 平台动态保护机制的常规部分。然而,内容配置的快速更新导致了问题的响应 Windows 系统崩溃,包括运行传感器版本在内的影响设备 7.11 还有更高版本 Windows 主机。
这些主机在 UTC 时间 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 在线和更新期间。Mac 和 Linux 主机不受影响。
内容更新中的缺陷已经存在 UTC 时间 2024 年 7 月 19 日星期五 05:27(北京时间 13:27)修复。此时上线的系统或之前窗口期内未连接更新的系统不受影响。
CrowdStrike 安全内容配置更新可以通过两种方式提供给传感器:直接附着在传感器上的内容和快速响应内容更新。周五的问题涉及快速响应内容更新,其中存在未检测到的错误。
当传感器接收并加载到内容解释器中时,有问题的内容会导致内存读取越界,从而引发异常。这种意外异常无法妥善处理,导致 Windows 操作系统崩溃(BSOD)。
计算机系统网注意到,CrowdStrike 官方还发布了三个部分的补救措施:
1、软件弹性和测试快速响应内容测试采用以下测试类型进行改进:
测试本地开发人员
内容更新和回滚测试
注入压力试验、模糊试验和故障
稳定性测试
内容接口测试
将其他验证检查添加到内容验证器中,以实现快速响应内容。新的检查正在进行中,以防止将来部署此类有问题的内容。
增强 Content Interpreter 现有的错误处理。
2、快速响应内容部署实施快速响应内容的交错部署策略,其中从更新到传感器库的大部分逐渐部署 Canary 部署开始。
改进对传感器和系统性能的监控,在快速响应内容部署过程中收集反馈,指导分阶段启动。
通过允许对这些更新的时间和位置进行精细的选择,客户可以更好地控制快速响应内容更新的交付。
客户可以通过发布说明提供内容更新的详细信息来订阅这些说明。
3、第三方验证审查多个独立的第三方安全代码。
独立审查从开发到部署的端到端质量流程。
除事故初步审查外,CrowdStrike 我们还致力于在调查完成后公开发布完整的根本原因分析。计算机系统网络附有初步审查报告原文。如果您感兴趣,您可以了解详细信息:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
广告声明:文本中包含的外部跳转链接(包括不限于超链接、二维码、密码等形式)用于传递更多信息,节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。
