是什么导致了2024Windows环境的全球BSOD事件?

2024年7月19日,全球Windows环境中触发的死亡蓝屏(BSOD)是由CrowdStrike Falcon Senor的端点检测和响应组件的错误更新引起的。

应用程序的更新缺陷是如何导致BSOD的?

CrowdStrike Falcon的驱动程序在所有机器中以内核级别运行。此驱动程序软件安装在操作系统前初始化阶段。当早期安装此类威胁检测和响应驱动程序时,它们会阻止恶意软件和其他有效负载安装在机器中。这些驱动程序属于早期启动反恶意软件(ELAM)保护类别。

谁创造了ELAM驱动程序?

创建ELAM驱动程序的供应商应该是微软病毒计划(MVI)的成员。MVI验证这些工具的动机和技术能力,只接受符合其要求的供应商。

MVI的关键要求之一是,供应商必须端到端负责在所有客户端机器上保持软件的最新状态。

CrowdStrike Falcon传感器的ELAM是如何更新的?

客户端机器使用HTTPS协议通过端口443直接从CrowdStrike的云基础设施接收更新。

CrowdStrike使用额外的通道文件自动更新客户端机器的文件夹。通道文件包含跟踪威胁的检测规则和响应工作流程以补救威胁。

文件(C-00000291*.sys)出了什么问题?

C-00000291*.sys是负责创建命名管道的通道文件之一。

命名管道促进了客户端内部或服务器与网络中客户端之间的进程间通信。文件对象在机器的文件系统中创建,但内容被写入内存而不是磁盘。

要查找机器上的命名管道,请打开命令提示符并输入代码:[System.IO.Directory]::GetFiles(“\.\pipe\”).

打开网易新闻 查看精彩图片

此通道文件的代码存在逻辑错误:分配给创建管道的内存不足。这阻碍了管道的创建,从而阻碍了与新更新相对应的通道文件的执行。问题是,在推出之前,这个更新是如何没有经过测试的。

但为什么是BSOD?

内核级操作会影响Windows机器中的硬件和软件。如果在这个层面上出了问题,它可能会对机器的状态产生严重影响。因此,如果任何进程失败,Windows会立即拉动BSOD。

如何修复由猎鹰传感器引起的BSOD?

CrowdStrike解决了修复中的内存分配错误。然而,所有受影响的系统必须手动重新启动才能使更新生效。

这种全球现象仍将是一个经典例子,说明为什么强大的安全基础知识将保持组织平稳运行。

一个简单的更新缺陷、错误配置、使用默认凭据以及用户和实体的松散耦合权限——所有这些都可能使业务倒闭。从长远来看,不断监控安全和风险因素可以帮助组织保持安全。