7月25日消息,據(jù)媒體報道,網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè)CrowdStrike于上周不幸觸發(fā)了一場波及全球的計算機(jī)系統(tǒng)大規(guī)模故障事件,其最新發(fā)布的詳盡聲明深刻剖析了此次事件的根源——一場內(nèi)存讀取越界錯誤引發(fā)的連鎖反應(yīng)。
時間回溯至UTC時間2024年7月19日(星期五)凌晨04:09,彼時正值全球多數(shù)地區(qū)的深夜,CrowdStrike作為常規(guī)維護(hù)流程的一部分,向全球用戶推送了針對Windows傳感器的關(guān)鍵內(nèi)容配置更新。此次更新的初衷在于增強(qiáng)Falcon平臺的動態(tài)保護(hù)能力,旨在更精準(zhǔn)地收集潛在新型威脅技術(shù)的遙測數(shù)據(jù),以提前構(gòu)筑安全防線。
然而,事與愿違,這批本應(yīng)強(qiáng)化防御的快速響應(yīng)內(nèi)容配置更新中潛藏著未被識別的錯誤,直接導(dǎo)致大量運(yùn)行傳感器版本7.11及以上版本的Windows主機(jī)系統(tǒng)崩潰。據(jù)統(tǒng)計,受影響的時間段集中在UTC時間04:09至05:27之間,而Mac與Linux平臺則幸運(yùn)地避開了此次風(fēng)波。
幸運(yùn)的是,CrowdStrike迅速響應(yīng),于UTC時間05:27(北京時間13:27)成功修復(fù)了更新中的缺陷,有效遏制了故障范圍的進(jìn)一步擴(kuò)大。值得注意的是,此時間節(jié)點(diǎn)后上線的新系統(tǒng)或在前述時段內(nèi)未接收到問題更新的系統(tǒng)均未受波及。
深入剖析此次事件,CrowdStrike的更新機(jī)制包括兩種:一種是隨傳感器預(yù)裝的內(nèi)容更新,另一種則是靈活應(yīng)對突發(fā)威脅的快速響應(yīng)內(nèi)容更新。本次故障正是后者中的一次失誤,特定內(nèi)容在加載至傳感器內(nèi)容解釋器時觸發(fā)了內(nèi)存讀取越界異常,系統(tǒng)未能有效攔截并處理這一異常情況,最終導(dǎo)致了Windows系統(tǒng)的藍(lán)屏死機(jī)(BSOD)。
周一,CrowdStrike官方發(fā)布正式聲明,確認(rèn)此次事件波及范圍廣泛,影響設(shè)備數(shù)量高達(dá)約850萬臺,這些設(shè)備往往作為關(guān)鍵組件嵌入于各大企業(yè)的復(fù)雜IT架構(gòu)之中,因此實(shí)際影響范圍遠(yuǎn)超初步估計。公司還高度警覺地提醒全球客戶,謹(jǐn)防不法分子借機(jī)行騙,指出已有黑客利用此次事件制造“快速解決方案”的假象,企圖傳播惡意軟件,進(jìn)一步加劇事態(tài)的復(fù)雜性。
