据微软称,CrowdStrike的错误更新导致全球技术灾难,周五影响了850万台Windows设备。微软表示,这“不到所有Windows设备的1%”,但它足以给零售商、银行、航空公司和许多其他行业以及依赖它们的每个人带来问题。
另外,周五发布的CrowdStrike技术故障报告进一步解释了事件的经过以及为何如此多的系统同时受到影响。
CrowdStrike的分析解释了问题核心的配置文件:
上述配置文件称为“通道文件”,是Falcon传感器使用的行为保护机制的一部分。通道文件的更新是传感器操作的正常部分,每天进行几次,以响应CrowdStrike发现的新策略、技术和程序。这不是一个新过程;该架构自Falcon成立之初就已存在。
CrowdStrike解释说,该文件不是内核驱动程序,而是负责“Falcon如何评估Windows系统上命名管道1的执行”。安全研究员兼Objective-See创始人PatrickWardle表示,该解释与他和其他人对崩溃原因的早期分析一致,因为问题文件“C-00000291-‘触发逻辑错误,导致操作系统崩溃’(通过Agent.sys)。”
2024年7月19日04:09UTC,作为持续运营的一部分,CrowdStrike向Windows系统发布了传感器配置更新。传感器配置更新是Falcon平台保护机制的持续组成部分。此配置更新触发了逻辑错误,导致受影响的系统崩溃和蓝屏(BSOD)。
哪些系统受到影响以及何时受到影响:
运行适用于Windows7.11及更高版本的Falcon传感器的系统,如果在UTC时间04:09至UTC时间05:27之间下载了更新的配置,则容易发生系统崩溃。
沃德尔指出,无论设置如何阻止自动更新,CrowdStrike的频道文件更新都会被推送到计算机上。