影响全球的 Windows 你遇到蓝屏了吗?也许黑锅不是微软的…
2024 年 7 月 19 日本,世界各地的网民突然发现了他们。 Windows 电脑开始频频出现蓝屏。(BSOD)故障。当他们在社交平台上吐槽时,更严重的困境也蔓延到了关键领域,包括但不限于零售、航空、金融、医疗等。举例来说,美国许多主要航空公司取消了航班,银行和交易所停止了服务。网络安全研究员 Troy Hunt 感觉,这可能是历史上最大的规模。 IT 故障。
还记得上次的全球性 Windows 系统崩溃也发生在蠕虫病毒肆虐的时代,如震荡波/冲击波。如今,计算机网络安全得到了前所未有的重视,这一次席卷全球。 Windows 到底是怎么发生蓝屏故障的?
一个全球性的安全公司 Windows 蓝屏停机事件
尽管国内一些新闻媒体在事件开始时,简单地描述了这起停机事故。「Windows 系统蓝屏」,并且把它归因于使用外国的东西。 Windows 操作系统,但是这个解释不成立。通过简单的分析,可以发现:
- 同时,国内相关服务机构的智能终端也安装了蓝屏停机。 Windows 操作系统,但仍然正常运行并提供服务;
- 尽管国内也有 Windows 计算机出现蓝屏停机,但主要是外企设备,国内大多数企业和个人计算机都没有受到影响。
这一现象表明,这一现象导致了全球 Windows 蓝屏系统停机的罪魁祸首不是微软,而是另一个人。
在全球范围内,随着网友、各机构和微软的介入, Windows 系统停机故障的原因逐渐明确——所有的停机设备都安装了 CrowdStrike 公司安全软件。CrowdStrike 该产品主要用于帮助企业防止黑客威胁,如勒索病毒,近年来业务迅速扩张,成为该领域的主要供应商。与传统的防病毒软件相比,其产品属于「检测和响应节点」类似软件,可持续扫描设备上的可疑活动,可自动响应。为实现这一级别的保护,其部件需要在核心级别作为驱动软件运行,从而带来操作系统故障的潜在风险。
那你肯定会感到困惑,CrowdStrike 是如何让他们的顾客 Windows 电脑全部蓝屏停机怎么办?
根据目前的 最新情况 来看,CrowdStrike 缺乏健全的环境变量检测,环境检测和代码审查不严格,导致存在。 Bug 在没有充分检测的情况下,更新包直接部署到工作环境中;CrowdStrike 还缺少紧急回滚机制,蓝屏问题发生后,新推送的安全环境变量无法及时撤销;最终很多领域的机构用户没有冗余备份,单个节点故障导致业务暂停。多种原因叠加导致这种不亚于蠕虫病毒攻击的广泛范围。 IT 故障。
罪魁祸首 CrowdStrike
CrowdStrike 暴露的问题远不止于此 Windows 今年四月出现了问题 CrowdStrike 一次安全更新导致其服务部署。 Debian Linux 和 Rocky Linux 服务器不能启动,经过调查发现是 CrowdStrike 与最新的 Debian 版本不兼容。
同时,CrowdStrike 在 Linux 事故的反应也受到了批评。故障发生一天后,我承认了故障本身。经过更长时间的后期调查,我在测试中发现了问题。——CrowdStrike 最新版本的测试系统矩阵根本不包括在内。 Debian Linux 配置。
当时 Rocky Linux 记录论坛
但是在深入挖掘 CrowdStrike 事实上,在发展历史之后,也不难发现,在安全软件导致系统崩溃这件事上,其创始人也许是一个「惯犯」。
CrowdStrike 创立于 2011 2008年,他的创始人 George Kurtz 以前是计算机安全软件 McAfee 首席技术官。在他任上,McAfee 也发生过类似的事故-杀毒软件 svchost.exe 识别为恶意软件,然后错误地删除它,最终导致大量的 Windows XP SP3 循环重启不能上网。正是因为这次事故,造成了许多事故。 PC 到目前为止,顾客仍然觉得给系统安装安全软件反而会电脑。「不稳定」。
早些年 McAfee 的类似事故
George Kurtz 曾经解释过,建立 CrowdStrike 机会来自于一次航班,隔壁的乘客整整等待。 15 分钟,才让 McAfee 该软件在自己的笔记本电脑上完全启动。它使他觉得有必要建立一个基于云的数据安全企业。
CrowdStrike 以云为基础,主要为企业提供一揽子公司安全解决方案。这次引起了大规模 Windows 蓝屏停机是其旗下的名字。 Falcon 该工具通过识别行为问题和漏洞来保护计算机软件免受恶意程序等威胁。CrowdStrike 表示自 2011 自成立以来,CrowdStrike 帮助调查了许多重大黑客攻击,并表示拥有。「平均时间最快」来测试威胁。
有关宣传内容
CrowdStrike 服务范围不在国内,所以国内大部分机构和个人电脑都没有受到这种影响。 Windows 蓝屏停机的影响。
怎样正确对待这一事件?
2024 年 7 月 20 日,微软和 CrowdStrike 最新的调查报告和解决方案已经公布。微软已经确定了一个影响 Windows 设备运行的 CrowdStrike Falcon 包含蓝屏错误信息的问题 0x50 和 0x7E,设备将处于反复重启状态。
在第一时间,微软还发布了相关内容
希望解决这一问题,IT 工程师需要重启并进入安全模式,删除相关目录下的名称为C-00002919*.sys文件,重新启动系统即可恢复正常。由于停机导致设备无法远程访问,这种恢复操作只能由 IT 线下工程师手动进行。然而,在云主机中 Windows 计算机没有安全模式,IT 在删除之前,工程师需要逐个手动连接到虚拟硬盘。
与此同时,CrowdStrike 还将更新回滚,防止再现故障,此次事件暂时告一段落。微软提供了特殊的服务 修复工具 ,协助 IT 工程师通过 Windows PE 环境,自动删除问题 CrowdStrike 文件允许机器正常启动;CrowdStrike 然后提供了一个新的 帮助文档 ,来协助 IT 工程师修理计算机;CrowdStrike 还提醒道,还有新的恶意软件「crowdstrike-hotfix.zip」(crowdstrike 在网上传播问题修复补丁)的名字。
虽然事件已经结束,但我们需要客观理性地看待这一事件。事件刚发生的时候,很多媒体在没有完全了解事件原因的情况下,突然觉得这是因为微软。 Windows 操作系统本身存在问题,并趁机进行无脑炒作,促使原本简单的事件复杂化。
当隐私模式下用关键词搜索此事时,很多人「流量党」趁机炒作
事实上,罪魁祸首 CrowdStrike 主要为公司提供服务,所以受影响的主要是企业客户,对普通用户影响不大。微软估计蓝屏停机事件会影响微软。 Windows 电脑可能有 850 大约一万台占总数 1%。
由于受到影响的主要原因是服务业等等「窗口行业」,当舆论传播时,无形中放大了故障的严重性。国内大部分都是 Windows 使用者平安无事,没有使用。 CrowdStrike 公司的计算机也没有受到影响。所以, Windows 对于操作系统本身来说,仍然是可靠和可靠的。
这次事件的确对安全厂商的形象造成了一定的损害,CrowdStrike 软体开发与测试过程中存在的一个重大漏洞就是造成这个世界 Windows 蓝屏停机的根源。建议安全厂商需要在频繁的安全更新和充分的检测之间找到一个平衡点,在降低风险和不确定性的同时增强安全性。
事件发生后,CrowdStrike 作为安全软件的入侵性也受到了很多人的批评,突出了高权限防病毒和 EDR(节点检测与响应)解决方案的潜在风险和不足。一些网民认为:「重新设计防病毒和防病毒,以避免类似问题再次出现。 EDR 减少对高权限的依赖,解决方案显得尤为重要。」。
目前,更成熟的防病毒设计解决方案是采用的。 eBPF。eBPF 它是一种核心虚拟机,允许开发者在核心中安全运行客户定义代码,而无需修改核心源代码或载入核心模块。
这一特性得到了促进 eBPF 以强大的监控和过滤工具为基础, eBPF 这些工具也不会使核心崩溃。现在微软正在全力开发 Windows eBPF版本 ,相信未来 Windows 安全软件也可以移植到上面 eBPF 其实,更安全的同时也可以显著减少这次蓝屏事件的发生。
当然,我们的普通用户也不能仅仅因为这个事件。「一旦被蛇咬,十年怕井绳。」,让你自己的计算机「裸奔」。毕竟此次 Windows 大规模蓝屏停机只是一个偶然的事件,主要影响企业客户。但是,如果个人信息因为没有安装安全软件或者关闭安全软件而被加密、勒索或者泄露,那就太大了。
原文链接
https://sspai.com/post/90673?utm_source=wechat&utm_medium=social
本文来自微信微信官方账号“少数派”,作者:化学情绪下2,责编:广陵止息,36氪经授权发布。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com