CrowdStrike 發(fā)布 Windows 大范圍藍屏事件初步審查報告：內(nèi)存讀取越界錯誤，已加強內(nèi)部測試

IT之家 7 月 25 日消息，近日因 CrowdStrike 故障導(dǎo)致全球約 850 萬臺 Windows 電腦藍屏死機，也成為全民關(guān)注的熱點事件。

7 月 24 日，CrowdStrike 官網(wǎng)發(fā)布了 Windows 大范圍藍屏事件初步審查報告，并表示即將在公開發(fā)布的根本原因分析中詳細說明全面調(diào)查結(jié)果。

初步審查報告顯示，UTC 時間 2024 年 7 月 19 日星期五 04:09（北京時間 12:09），作為常規(guī)操作的一部分，CrowdStrike 發(fā)布了 Windows 傳感器的內(nèi)容配置更新，以收集有關(guān)可能的新型威脅技術(shù)的遙測數(shù)據(jù)。

這些更新是 Falcon 平臺動態(tài)保護機制的常規(guī)部分。然而，有問題的快速響應(yīng)內(nèi)容配置更新導(dǎo)致了 Windows 系統(tǒng)崩潰，影響的設(shè)備包括運行傳感器版本 7.11 及更高版本的 Windows 主機。

這些主機在 UTC 時間 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 期間在線并收到了更新。Mac 和 Linux 主機不受影響。

內(nèi)容更新中的缺陷已于 UTC 時間 2024 年 7 月 19 日星期五 05:27（北京時間 13:27）修復(fù)。在此時間之后上線的系統(tǒng)或在之前的窗口期內(nèi)未連接更新的系統(tǒng)不受影響。

CrowdStrike 通過兩種方式向傳感器提供安全內(nèi)容配置更新：直接隨傳感器附帶的內(nèi)容，以及快速響應(yīng)內(nèi)容更新。周五的問題涉及快速響應(yīng)內(nèi)容更新，其中存在未檢測到的錯誤。

當(dāng)傳感器接收并加載到內(nèi)容解釋器中時，有問題的內(nèi)容導(dǎo)致內(nèi)存讀取越界，從而觸發(fā)異常。無法妥善處理此意外異常，導(dǎo)致 Windows 操作系統(tǒng)崩潰（BSOD）。

IT之家注意到，CrowdStrike 官方也發(fā)布了補救措施，共包括三大部分：

1、軟件彈性和測試

通過使用以下測試類型改進快速響應(yīng)內(nèi)容測試：

• 本地開發(fā)人員測試

• 內(nèi)容更新和回滾測試

• 壓力測試、模糊測試和故障注入

• 穩(wěn)定性測試

• 內(nèi)容接口測試

向內(nèi)容驗證器添加其他驗證檢查，以實現(xiàn)快速響應(yīng)內(nèi)容。正在進行一項新的檢查，以防止將來部署此類有問題的內(nèi)容。

增強 Content Interpreter 中的現(xiàn)有錯誤處理。

2、快速響應(yīng)內(nèi)容部署

• 對快速響應(yīng)內(nèi)容實施交錯部署策略，其中更新逐漸部署到傳感器庫的較大部分，從 Canary 部署開始。

• 改進對傳感器和系統(tǒng)性能的監(jiān)控，在快速響應(yīng)內(nèi)容部署期間收集反饋，以指導(dǎo)分階段推出。

• 通過允許精細選擇部署這些更新的時間和位置，使客戶能夠更好地控制快速響應(yīng)內(nèi)容更新的交付。

• 通過發(fā)行說明提供內(nèi)容更新詳細信息，客戶可以訂閱這些說明。

3、第三方驗證

• 進行多個獨立的第三方安全代碼審查。

• 對從開發(fā)到部署的端到端質(zhì)量流程進行獨立審查。

除了初步的事故后審查外，CrowdStrike 還致力于在調(diào)查完成后公開發(fā)布完整的根本原因分析。IT之家附初步審查報告原文，感興趣的可以前往了解詳細信息：

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。