CrowdStrike蓝屏问题官方已发布技术细节

发生了什么?

2024 年 7 月 19 日世界协调时 04:09,作为正在进行的操作的一部分,CrowdStrike 向 Windows 系统发布了传感器配置更新。传感器配置更新是 Falcon 平台保护机制的持续组成部分。此次配置更新触发了一个逻辑错误,导致受影响的系统崩溃并出现蓝屏(BSOD)。

导致系统崩溃的传感器配置更新已于 2024 年 7 月 19 日星期五世界协调时 05:27 得到修复。

此问题并非网络攻击的结果或与之相关。

影响
在 2024 年 7 月 19 日星期五世界协调时 04:09 至 05:27 之间在线运行 Windows 版 Falcon 传感器 7.11 及以上版本的客户可能会受到影响。

运行 Windows 7.11 及以上版本 Falcon 传感器并在世界协调时 04:09 至 05:27 下载更新配置的系统容易出现系统崩溃。

配置文件入门
上述提到的配置文件被称为“通道文件”,是 Falcon 传感器使用的行为保护机制的一部分。对通道文件的更新是传感器运行的正常部分,每天会根据 CrowdStrike 发现的新策略、技术和程序进行多次更新。这并非新流程,自 Falcon 诞生以来架构就已存在。

技术细节
在 Windows 系统中,通道文件位于以下目录:

C:\Windows\System32\drivers\CrowdStrike\

文件名以“C-”开头。每个通道文件都被分配一个数字作为唯一标识符。本次事件中受影响的通道文件为 291,文件名以“C-00000291-”开头,以.sys 扩展名结尾。尽管通道文件以 SYS 扩展名结尾,但它们并非内核驱动程序。

通道文件 291 控制 Falcon 如何评估 Windows 系统上的命名管道 1 执行。命名管道用于 Windows 中的正常进程间或系统间通信。

世界协调时 04:09 发生的更新旨在针对网络攻击中常见 C2 框架使用的新观察到的恶意命名管道。配置更新触发了一个逻辑错误,导致操作系统崩溃。

通道文件 291
CrowdStrike 已通过更新通道文件 291 中的内容纠正了逻辑错误。除了更新逻辑外,不会对通道文件 291 进行其他更改。Falcon 仍在评估和防范命名管道的滥用。

这与通道文件 291 或任何其他通道文件中包含的空字节无关。

修复
最新的修复建议和信息可在我们的博客或支持门户中找到。

我们了解一些客户可能有特定的支持需求,并请他们直接与我们联系。

当前未受影响的系统将继续正常运行,继续提供保护,并且未来没有经历此事件的风险。

运行 Linux 或 macOS 的系统不使用通道文件 291,未受影响。

根本原因分析
我们了解此问题是如何发生的,正在进行彻底的根本原因分析,以确定此逻辑缺陷是如何产生的。此项工作将持续进行。我们致力于确定可以进行的任何基础或工作流程改进,以加强我们的流程。随着调查的进展,我们将更新根本原因分析中的发现。 

全部评论

暂无评论

发布评论

登录账户 以发表评论