据微软称,CrowdStrike的错误更新引发了一场全球性的技术灾难,周五全球有850万台Windows设备受到影响。微软表示,这“不到所有Windows设备的1%”,但它足以给零售商、银行、航空公司和许多其他行业以及依赖它们的每个人带来问题。
另外,CrowdStrike周五发布的技术故障报告进一步解释了事件的经过以及为何如此多的系统同时受到影响。
CrowdStrike的分析解释了问题核心的配置文件:
上述配置文件称为“通道文件”,是Falcon传感器使用的行为保护机制的一部分。通道文件的更新是传感器操作的正常部分,每天会根据CrowdStrike发现的新策略、技术和程序进行多次更新。这不是一个新过程;该架构自Falcon成立之初就已存在。
CrowdStrike解释说,该文件不是内核驱动程序,而是负责“Falcon如何评估Windows系统上命名管道1的执行”。安全研究员兼Objective See创始人Patrick Wardle表示,该解释与他和其他人对崩溃原因的早期分析一致,因为问题文件“C-00000291-“触发了导致操作系统崩溃的逻辑错误”(通过CSAgent.sys)。”
CrowdStrike博客的其他摘录进一步解释了蓝屏的问题所在:
2024年7月19日04:09UTC,作为持续运营的一部分,CrowdStrike向Windows系统发布了传感器配置更新。传感器配置更新是Falcon平台保护机制的持续组成部分。此配置更新触发了逻辑错误,导致受影响的系统出现崩溃和蓝屏(BSOD)。
哪些系统受到影响以及何时受到影响:
运行了适用于Windows 7.11及更高版本的Falcon传感器的系统,如果在UTC时间04:09至UTC时间05:27之间下载了更新的配置,则容易发生系统崩溃。
Wardle指出,无论设置如何阻止自动更新,CrowdStrike的通道文件更新都会被推送到计算机上。