CrowdStrike解释上周五事件导致数百万Windows设备崩溃
网络安全公司CrowdStrike周三表示,上周末发生的大规模中断事件导致数百万台Windows设备崩溃,原因是其验证系统存在问题。
该公司在其初步事后审查(PIR)中表示:“2024年7月19日星期五04:09 UTC,作为常规操作的一部分,CrowdStrike发布了Windows传感器的内容配置更新,以收集可能的新型威胁技术的遥测数据。”
“这些更新是Falcon平台动态保护机制的常规部分。有问题的快速响应内容配置更新导致Windows系统崩溃。”
该事件影响了在2024年7月19日04:09 UTC至05:27 UTC之间在线运行传感器版本7.11及以上的Windows主机,并接收了更新。而Apple macOS和Linux系统未受影响。
CrowdStrike表示,它通过两种方式提供安全内容配置更新,一种是通过与Falcon Sensor一起提供的Sensor Content,另一种是通过Rapid Response Content,允许它使用各种行为模式匹配技术来标记新型威胁。
此次崩溃据说是由于快速响应内容更新中包含了一个先前未检测到的错误。值得注意的是,此类更新是以与特定行为相对应的模板实例的形式提供的,每个行为都映射到一个唯一的模板类型,以启用新的遥测和检测功能。
模板实例是使用内容配置系统创建的,然后通过一种称为通道文件的机制通过云部署到传感器上,这些文件最终会写入Windows机器的磁盘。该系统还包括一个内容验证器组件,用于在发布内容之前对其进行验证检查。
“快速响应内容无需更改传感器代码即可在传感器上提供可见性和检测。”
“威胁检测工程师利用此功能收集遥测数据,识别对手行为的指标,并执行检测和防护。快速响应内容是基于行为的启发式方法,与CrowdStrike传感器上的人工智能预防和检测功能分开且不同。”
然后,这些更新由Falcon传感器的内容解释器进行解析,然后允许传感器检测引擎根据客户的策略配置来检测或防止恶意活动。
虽然每种新的模板类型都会针对不同参数(如资源利用率和性能影响)进行压力测试,但根据CrowdStrike的说法,问题的根本原因可以追溯到2024年2月28日推出的进程间通信(IPC)模板类型的推出,该类型是用于标记滥用命名管道的攻击。
事件的时间线如下:
- 2024年2月28日 - CrowdStrike向客户发布了带有新IPC模板类型的传感器7.11
- 2024年3月5日 - IPC模板类型通过压力测试并验证可供使用
- 2024年3月5日 - IPC模板实例通过通道文件291发布到生产环境
- 2024年4月8日至24日 - 生产环境中部署了另外三个IPC模板实例
- 2024年7月19日 - 部署了两个额外的IPC模板实例,其中一个尽管包含有问题的内容数据,但仍通过了验证
CrowdStrike表示:“基于模板类型初次部署之前(2024年3月5日)进行的测试、对内容验证器中执行的检查的信任,以及之前成功的IPC模板实例部署,这些实例已部署到生产环境中。”
“当传感器接收到通道文件291并将其加载到内容解释器中时,其中的问题内容导致了越界内存读取,从而触发了异常。这个意外的异常无法妥善处理,导致Windows操作系统崩溃(BSoD)。”
为了应对崩溃造成的广泛中断并防止其再次发生,这家总部位于德克萨斯州的公司表示,它已经改进了测试流程并增强了内容解释器中的错误处理机制。它还计划为快速响应内容实施分阶段的部署策略。
9662
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
