CrowdStrike 更新引發(fā) Windows 藍(lán)屏危機(jī)，微軟揭秘背后根本原因

IT之家 7 月 29 日消息，過去十天，CrowdStrike 和微軟一直在全力協(xié)助受大規(guī)模 Windows 藍(lán)屏死機(jī)問題影響的用戶。該問題是由 CrowdStrike 的一個(gè)錯(cuò)誤更新引起的。除了提供解決方法外，CrowdStrike 已經(jīng)發(fā)布了關(guān)于此次宕機(jī)的初步事故后審查報(bào)告。根據(jù)報(bào)告，藍(lán)屏死機(jī)是由內(nèi)存安全問題引起的，CrowdStrike 的 CSagent 驅(qū)動(dòng)程序發(fā)生了越界讀取訪問沖突。

微軟昨天發(fā)布了對(duì) CrowdStrike 驅(qū)動(dòng)程序?qū)е碌拇舜五礄C(jī)的詳細(xì)技術(shù)分析。微軟的分析證實(shí)了 CrowdStrike 的發(fā)現(xiàn)，即崩潰是由 CrowdStrike 的 CSagent.sys 驅(qū)動(dòng)程序中的越界內(nèi)存安全錯(cuò)誤引起的。csagent.sys 模塊在 Windows 電腦上注冊(cè)為文件系統(tǒng)過濾器驅(qū)動(dòng)程序，以接收有關(guān)文件操作（包括創(chuàng)建或修改文件）的通知，這允許包括 CrowdStrike 在內(nèi)的安全產(chǎn)品掃描保存到磁盤的任何新文件。

IT之家注意到，事件發(fā)生時(shí)，微軟因允許第三方軟件開發(fā)商進(jìn)行內(nèi)核級(jí)訪問受到了大量批評(píng)。在博客文章中，微軟解釋了為何為安全產(chǎn)品提供內(nèi)核級(jí)訪問：

• 內(nèi)核驅(qū)動(dòng)程序允許系統(tǒng)范圍內(nèi)的可見性，并能夠在啟動(dòng)過程早期加載，以檢測啟動(dòng)套件和根套件等威脅，這些威脅可以在用戶模式應(yīng)用程序之前加載。

• 微軟提供系統(tǒng)事件回調(diào)、文件過濾器驅(qū)動(dòng)程序等功能。

• 內(nèi)核驅(qū)動(dòng)程序可為高吞吐量網(wǎng)絡(luò)活動(dòng)等情況提供更好的性能。

• 安全解決方案希望確保其軟件無法被惡意軟件、定向攻擊或惡意內(nèi)部人員禁用，即使這些攻擊者具有管理員權(quán)限。為此，Windows 在啟動(dòng)早期提供早期啟動(dòng)反惡意軟件（ELAM）。

然而，內(nèi)核驅(qū)動(dòng)程序也需要權(quán)衡，因?yàn)樗鼈冊(cè)?Windows 最可信的級(jí)別運(yùn)行，增加了風(fēng)險(xiǎn)。微軟還致力于將復(fù)雜的 Windows 核心服務(wù)從內(nèi)核模式遷移到用戶模式，例如字體文件解析。微軟建議安全解決方案提供商在可視性和防篡改需求與內(nèi)核模式操作風(fēng)險(xiǎn)之間取得平衡。例如，他們可以使用在內(nèi)核模式下運(yùn)行的最小傳感器進(jìn)行數(shù)據(jù)收集和執(zhí)行，從而限制對(duì)可用性問題的暴露。其余功能，如管理更新、解析內(nèi)容和其他操作，可以在用戶模式下隔離進(jìn)行。

在博客文章中，微軟還解釋了 Windows 操作系統(tǒng)的內(nèi)置安全功能。這些安全功能提供了多層保護(hù)，防止惡意軟件和攻擊企圖。微軟將通過微軟病毒計(jì)劃（MVI）與反惡意軟件生態(tài)系統(tǒng)合作，利用 Windows 內(nèi)置安全功能進(jìn)一步提高安全性和可靠性。

微軟目前計(jì)劃：

• 提供安全部署指南、最佳實(shí)踐和技術(shù)，使安全產(chǎn)品更新更安全。

• 減少內(nèi)核驅(qū)動(dòng)程序訪問重要安全數(shù)據(jù)的需要。

• 通過最近宣布的 VBS 孤島等技術(shù)提供增強(qiáng)的隔離和防篡改功能。

• 啟用零信任方法，如高完整性認(rèn)證，該方法可根據(jù) Windows 原生安全功能的健康狀況確定機(jī)器的安全狀態(tài)。

截至 7 月 25 日，受此問題影響的 Windows 電腦已超過 97% 恢復(fù)在線，微軟現(xiàn)在正著眼于防止未來出現(xiàn)此類問題。微軟 Windows 程序管理副總裁 John Cable 最近發(fā)表了一篇關(guān)于 CrowdStrike 問題的博客文章，其中提到 Windows 必須優(yōu)先考慮端到端彈性的變化和創(chuàng)新，這正是客戶對(duì)微軟的期望。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。