尝试缓解新的Windows 威胁导致运行 CrowdStrike的 Falcon 传感器的系统崩溃。CrowdStrike的工程师们很快发现了问题,在一个多小时后就发布了修复程序。但对于已经"被锁在门外"的客户来说,恢复正常还需要一番折腾。

来源：T. Schneider / Shutterstock

【睿观：有一家名叫 CrowdStrike 的保安公司,为全球许多企业和组织提供安保服务。他们开发了一套名叫"猎鹰"的高科技防盗系统,可以自动检测和阻止入侵者。

一天早上,CrowdStrike的工程师们想要升级这套系统,让它能识别一些新型的入侵手段。他们写好了新的程序,并在凌晨4点多开始向全球客户的系统推送更新。

然而,这个更新程序里不小心混进了一个bug。结果导致许多安装了"猎鹰"系统的电脑突然崩溃,显示蓝屏。就好像是保安公司不小心把防盗门锁死了,连主人都进不去自己的房子。

这个问题影响范围很广,造成了一些机场、医院等重要场所的系统瘫痪。CrowdStrike的工程师们很快发现了问题,在一个多小时后就发布了修复程序。但对于已经"被锁在门外"的客户来说,恢复正常还需要一番折腾。

事后,CrowdStrike的 CEO 出面道歉,并解释了事故原因。他强调这不是黑客攻击,而是公司自己的失误。这就像保安公司的老板亲自登门向客户道歉,承认是自家保安系统出了问题,而不是真的遭遇了入侵。

这个事件提醒我们,即使是最先进的安全系统,也可能因为一个小小的错误而导致意想不到的后果。对于依赖高科技系统的现代社会来说,如何在追求安全的同时保持系统的稳定性和可靠性,是一个值得深思的问题。】

CrowdStrike首席执行官向公司客户和合作伙伴就其 Windows 系统崩溃而道歉，公司还描述了导致灾难的错误。

“我要就今天的中断问题向大家诚挚地道歉。CrowdStrike的所有人都明白此事的严重性和影响，”CrowdStrike 创始人兼首席执行官乔治·库尔茨 (George Kurtz) 在公司网站上的一篇题为“我们对今天中断事件的声明”的博客文章中写道。

他重申了公司早先的信息，即7月 19 日星期五导致全球计算机瘫痪的事件不是网络攻击造成的。

但他玩弄文字，暗示该公司的Falcon 安全平台没有故障，并暗示该事件是一场意外。

一、是什么原因导致 CrowdStrike 崩溃？

“此次中断是由于在Falcon 针对 Windows 主机的内容更新中发现的缺陷所导致的，”库尔茨说道，就好像这个缺陷是他的员工发现的自然现象一样。

该公司在周六的另一篇博客文章中提供了该事件的技术细节，文中称，有问题的更新内容于上周五世界标准时间04:09（美国东部时间 0:09）被推送到运行该公司 Falcon 传感器的 Windows 机器上，仅在 79 分钟后就发布了修复程序。

【睿观：猎鹰传感器（Falcon）是网络安全公司CrowdStrike开发的一款软件，用于在Windows电脑上收集安全数据。它作为CrowdStrike Falcon平台的一部分，旨在检测和阻止恶意软件、病毒和其他网络威胁。

此次事件表明，安全软件本身也存在漏洞，可能会导致意想不到的后果。对于个人和企业来说，及时更新安全软件并安装补丁非常重要，但也要有网络安全的应急预案。

以下是一些关于猎鹰传感器的额外信息：

猎鹰传感器使用多种技术来收集安全数据，包括文件系统监控、网络活动监控和应用程序行为监控。

猎鹰传感器可以检测各种类型的威胁，包括恶意软件、病毒、间谍软件、僵尸网络和网络钓鱼攻击。

猎鹰传感器可以将威胁数据发送到CrowdStrike Falcon平台进行分析和处理。

CrowdStrike Falcon平台可以自动响应威胁，并向安全团队提供有关威胁的信息。】

当然，到那时已经太晚了：许多收到更新的系统已经离线。

博客文章称：“运行适用于Windows 7.11 及更高版本的 Falcon 传感器的系统，如果在 UTC 时间 04:09 至 UTC 时间 05:27 下载了更新的配置，则容易发生系统崩溃。”

在某些情况下，运行Falcon 传感器的系统崩溃会导致航班错过、呼叫中心关闭和手术取消，因为许多受影响的 Windows 系统显示了臭名昭著的蓝屏死机。

尽管如此，库尔茨在给客户的信中坚称，“安装Falcon 传感器不会对任何保护产生影响。”

对于未收到有缺陷的内容更新的系统来说，情况可能确实如此，严格来说，不再运行的系统不需要保护，但受影响的客户会质疑CrowdStrike 是否在关键的 79 分钟内真正保护了他们的系统。

二、CrowdStrike 的缺陷内容更新包含什么？

CrowdStrike每天会多次更新其 Falcon 平台端点传感器的配置文件。它将这些更新称为“通道文件”。

该公司在周六的技术博客文章中表示，缺陷出现在其称为“通道291”的文件中。该文件存储在名为“C:\Windows\System32\drivers\CrowdStrike\”的目录中，文件名以“C-00000291-”开头，以“.sys”结尾。CrowdStrike 坚称，尽管文件的位置和名称不同，但该文件并不是 Windows 内核驱动程序。

通道文件291 用于向 Falcon 传感器传递有关如何评估“命名管道”执行的信息。Windows 系统使用这些管道进行系统间或进程间通信，它们本身并不构成威胁 — — 尽管它们可能会被滥用。

技术博客文章解释说：“UTC时间 04:09 进行的更新旨在针对网络攻击中常见 C2 [命令和控制] 框架所使用的新观察到的恶意命名管道。”

然而，它表示，“配置更新触发了逻辑错误，导致操作系统崩溃。”

三、快速修复，但恢复缓慢

要阻止问题再次发生，只需从文件中删除有缺陷的内容：“CrowdStrike已通过更新频道文件 291 中的内容纠正了逻辑错误。”

但这并不能解决大量已经下载了缺陷内容并崩溃的Windows 机器的问题。

针对这些问题，CrowdStrike发布了另一篇博文，其中包含受影响客户需要执行的更长的一系列操作，包括远程检测和自动恢复受影响系统的建议，以及针对受影响的物理机或虚拟服务器的临时解决方法的详细说明。

技术博客文章总结道：“目前未受影响的系统将继续按预期运行，继续提供保护，并且不会在未来遭遇此事件的风险。”

修复方法可“点击原文”