CrowdStrike更新导致全球Windows系统大规模崩溃,CEO致歉并详解修复措施

简介: CrowdStrike更新导致全球Windows系统大规模崩溃,CEO致歉并详解修复措施

本文来源:企业网D1net


CrowdStrike公司因推送有缺陷的Falcon内容更新导致全球Windows系统崩溃,其CEO George Kurtz向客户和合作伙伴致歉,并详细解释了导致这次灾难的错误。


CrowdStrike的CEO向公司的客户和合作伙伴致歉,因为他们的Windows系统崩溃,并详细描述了导致灾难的错误。


“我想向你们所有人真诚地道歉,CrowdStrike的每个人都理解这一情况的严重性和影响,”CrowdStrike创始人兼CEO George Kurtz在公司网站上的博客文章“我们对今天宕机事件的声明”中写道。


他重申了公司早先的信息,即7月19日星期五发生的事件并非网络攻击的结果。


但他用词巧妙地暗示公司Falcon安全平台没有过错,并表示事件是意外。


是什么导致了CrowdStrike的崩溃?


“宕机是由于在Windows主机的Falcon内容更新中发现的一个缺陷引起的,”Kurtz说,好像这个缺陷是他的员工发现的自然现象。


公司在周六的另一篇博客文章中提供了该事件的技术细节,并表示有问题的内容更新是在星期五04:09 UTC(东部时间0:09)推送到运行公司Falcon传感器的Windows机器上的,修复程序在79分钟后推送。


到那时,当然已经太晚了:许多收到更新的系统已经离线。


“运行Falcon传感器的系统在下载更新配置从04:09 UTC到05:27 UTC期间,易于发生系统崩溃,”博客文章说。


在某些情况下,这些运行Falcon传感器的系统崩溃导致航班延误、呼叫中心关闭和手术取消,因为许多受影响的Windows系统显示出了著名的蓝屏死机。


尽管如此,Kurtz在给客户的信中坚持表示,“如果安装了Falcon传感器,任何保护都不会受到影响。”


对于没有接收到有缺陷内容更新的系统来说,这可能是对的。严格来说,一个已经不运行的系统不需要保护,但受影响的客户会质疑在那关键的79分钟内CrowdStrike是否真正保护了他们的系统。


CrowdStrike有缺陷的内容更新包含什么?


CrowdStrike每天多次更新其Falcon平台端点传感器的配置文件,称这些更新为“通道文件”。


公司在周六的技术博客文章中表示,缺陷存在于它称为“通道291”的文件中。文件存储在目录“C:\Windows\System32\drivers\CrowdStrike\”中,文件名以“C-00000291-”开头,以“.sys”结尾。尽管文件的位置和名称如此,CrowdStrike坚持表示该文件不是Windows内核驱动程序。


通道文件291用于传递Falcon传感器有关如何评估“命名管道”执行的信息。Windows系统使用这些管道进行系统间或进程间通信,本身不是威胁,但可能被滥用。


“04:09 UTC发生的更新旨在针对网络攻击中常见C2(指挥和控制)框架使用的新观察到的恶意命名管道,”技术博客文章解释道。


然而,“配置更新触发了一个逻辑错误,导致操作系统崩溃。”


快速修复,但恢复缓慢


只需从文件中移除有缺陷的内容即可阻止问题再次发生:“CrowdStrike通过更新通道文件291中的内容纠正了逻辑错误。”


但这并不能解决已经下载了有缺陷内容并崩溃的众多Windows机器的问题。


对于这些机器,CrowdStrike发布了另一篇博客文章,包含一整套更长的受影响客户需要执行的操作,提出远程检测和自动恢复受影响系统的建议,并详细说明了受影响物理机器或虚拟服务器的临时解决方案。


“当前未受影响的系统将继续正常运行,继续提供保护,并且未来不会有发生此事件的风险,”技术博客文章总结道。



版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。封面图片来源于摄图网


(来源:企业网D1Net)


image.png

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿。

投稿邮箱:

editor@d1net.com

合作电话:

010-58221588(北京公司)

021-51701588(上海公司)

合作邮箱:

Sales@d1net.com


企业网D1net旗下信众智是CIO(首席信息官)的专家库和智力输出及资源分享平台,有五万多CIO专家,也是目前最大的CIO社交平台。


信众智对接CIO为CIO服务,提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内最早的toB共享经济平台。同时提供猎头,选型点评,IT部门业绩宣传等服务。

相关文章
|
2月前
|
安全 Windows
永久关闭 Windows 11 系统更新
永久关闭 Windows 11 系统更新
162 0
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
72 32
|
1月前
|
存储 负载均衡 Java
如何配置Windows主机MPIO多路径访问存储系统
Windows主机多路径(MPIO)是一种技术,用于在客户端计算机上配置多个路径到存储设备,以提高数据访问的可靠性和性能。本文以Windows2012 R2版本为例介绍如何在客户端主机和存储系统配置多路径访问。
108 13
如何配置Windows主机MPIO多路径访问存储系统
|
2月前
|
安全 搜索推荐 Windows
如何修复Windows 10升级错误0xa0000400
通过上述方法,即使面对棘手的错误0xa0000400,也能逐步定位问题并采取相应措施,让Windows 10升级之旅回归正轨。
146 1
|
2月前
|
Windows
.NET 隐藏/自定义windows系统光标
【10月更文挑战第20天】在.NET中,可以使用`Cursor`类来控制光标。要隐藏光标,可将光标设置为`Cursors.None`。此外,还可以通过从文件或资源加载自定义光标来更改光标的样式。例如,在表单加载时设置`this.Cursor = Cursors.None`隐藏光标,或使用`Cursor.FromFile`方法加载自定义光标文件,也可以将光标文件添加到项目资源中并通过资源管理器加载。这些方法适用于整个表单或特定控件。
|
2月前
|
Apache 数据中心 Windows
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
|
2月前
|
域名解析 缓存 网络协议
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
|
2月前
|
运维 网络安全 虚拟化
Windows系统镜像检测修复建议
Windows系统镜像检测修复建议
|
2月前
|
Windows
安装Windows XP系统
安装Windows XP系统
|
2月前
|
安全 Windows
windows系统中,通过LOAD到入csv格式的文件到neo4j中,如何写文件路径
windows系统中,通过LOAD到入csv格式的文件到neo4j中,如何写文件路径
51 0