CrowdStrike 更新導(dǎo)致 Windows 藍(lán)屏死機(jī)事件概述與影響

概述

根據(jù)多個(gè)來(lái)源的信息，此次藍(lán)屏事件（BSOD）的主要原因是美國(guó)網(wǎng)絡(luò)安全公司CrowdStrike發(fā)布的一項(xiàng)軟件更新存在缺陷。該更新影響了大量使用Windows系統(tǒng)的設(shè)備，導(dǎo)致它們出現(xiàn)藍(lán)屏死機(jī)現(xiàn)象。具體來(lái)說(shuō)，CrowdStrike的更新與內(nèi)容部署有關(guān)，這使得許多Windows系統(tǒng)無(wú)法正常運(yùn)行。

Vegas？轉(zhuǎn)載自 X

盡管微軟表示已經(jīng)解決了導(dǎo)致故障的原因，但這次事件仍然對(duì)全球范圍內(nèi)的用戶(hù)造成了嚴(yán)重影響。例如，一些跨國(guó)企業(yè)和個(gè)人用戶(hù)的電腦在毫無(wú)預(yù)兆的情況下突然崩潰，給工作和生活帶來(lái)了極大的不便。此外，事件還波及到了多個(gè)行業(yè)，包括特斯拉生產(chǎn)線(xiàn)等。

值得注意的是，盡管這次藍(lán)屏事件影響廣泛，但其在中國(guó)的影響相對(duì)較小。微軟中國(guó)回應(yīng)稱(chēng)，受影響的用戶(hù)占比不到1%，并且正在積極幫助客戶(hù)恢復(fù)系統(tǒng)。同時(shí)，國(guó)內(nèi)用戶(hù)也建議進(jìn)行多方備份以防止類(lèi)似問(wèn)題再次發(fā)生。

這次全球性的Windows藍(lán)屏事件凸顯了依賴(lài)單一系統(tǒng)的脆弱性，并提醒用戶(hù)和企業(yè)需要更加重視系統(tǒng)安全和穩(wěn)定性。

• 事件概述: CrowdStrike 更新導(dǎo)致 Windows 主機(jī)出現(xiàn)藍(lán)屏死機(jī)，影響范圍廣泛，包括多個(gè)云平臺(tái)和政府云。
• 官方響應(yīng): CrowdStrike 確認(rèn)問(wèn)題并發(fā)布技術(shù)警報(bào)，指出受影響的主機(jī)需手動(dòng)刪除特定文件以恢復(fù)正常啟動(dòng)。
• 臨時(shí)解決方案: 建議用戶(hù)進(jìn)入安全模式或 Windows 恢復(fù)環(huán)境，刪除 C:\Windows\System32\drivers\CrowdStrike 目錄下的特定文件。
• 影響范圍: 事件影響全球多個(gè)地區(qū)，包括美國(guó)、澳大利亞、馬來(lái)西亞和捷克共和國(guó)，涉及醫(yī)院、機(jī)場(chǎng)、政府和企業(yè)。
• 用戶(hù)反饋: 用戶(hù)對(duì)此次事件反應(yīng)強(qiáng)烈，討論如何在各自組織內(nèi)應(yīng)對(duì)和恢復(fù)服務(wù)，同時(shí)對(duì) CrowdStrike 的 QA 流程和更新策略提出批評(píng)。
• 媒體和公眾反應(yīng): 事件被廣泛報(bào)道，用戶(hù)在社交媒體上分享個(gè)人經(jīng)歷和解決方案，討論事件對(duì)日常生活和工作的影響。

崩潰原因

有興趣的小伙伴可以看一下這位老兄的 X。

導(dǎo)致問(wèn)題的就是這兩行代碼：

代碼層面的細(xì)節(jié)我們就不再展開(kāi)了，據(jù)說(shuō)是這個(gè)CSAgent.sys文件導(dǎo)致的。

故障實(shí)例：MOV R9D，[R8］

R8：未映射地址

...取自指針數(shù)組（保存在 RAX 中），索引 RDX (0x14 * 0x8) 保存無(wú)效內(nèi)存地址

X

沒(méi)受影響？

由于CrowdStrike 系統(tǒng)更新錯(cuò)誤，美國(guó)幾乎所有航班目前都停飛，影響了從旅行到星巴克移動(dòng)訂購(gòu)的一切，但西南航空的航班除外。西南航空仍在高歌猛進(jìn)，沒(méi)有受到困擾全球的停飛的影響，這顯然是因?yàn)樗褂玫氖?Windows 3.1。

是的，Windows 3.1 — 一個(gè)已有 32 年歷史的操作系統(tǒng)。西南航空、UPS 和聯(lián)邦快遞都沒(méi)有遇到 CrowdStrike 中斷的任何問(wèn)題。

Commodore 64 + Win 3.1 

大家可能也注意到了，國(guó)內(nèi)的用戶(hù)基本沒(méi)受什么影響（外企或部分大型企業(yè)除外），原因是 CrowdStrike 并不在國(guó)內(nèi)銷(xiāo)售。而且， 國(guó)內(nèi)應(yīng)該仍有不少企業(yè)仍在使用 WinXP（比西南航空“先進(jìn)”不少）。別誤會(huì)，這里并沒(méi)有諷刺的意思，只是想強(qiáng)調(diào)系統(tǒng)安全性和IT可靠性的重要程度，并不是最先進(jìn)的技術(shù)就適合所有的場(chǎng)景。當(dāng)您在抱怨IT管控過(guò)嚴(yán)，影響您的工作效率和靈活性的同時(shí)，可能并沒(méi)有意識(shí)到這些機(jī)制也保護(hù)了企業(yè)的安全及數(shù)據(jù)的安全。在復(fù)雜的國(guó)際形勢(shì)下，重點(diǎn)企業(yè)采取“物理隔絕”反而可能是最有效的安全策略

點(diǎn)評(píng)

我國(guó)幸免此次大規(guī)模藍(lán)屏，下次呢？想要IT安全還是得有自己核心實(shí)力，要有自主操作系統(tǒng)。