揭秘CrowdStrike揭示的Windows系统重大事件

据微软昨晚发布的新闻稿称，CrowdStrike 的错误更新引发了一场全球性的技术灾难，周五有 850 万台 Windows 设备受到影响。微软称，这"不到所有 Windows 机器的百分之一"，但足以给零售商、银行、航空公司和许多其他行业以及所有依赖它们的人带来麻烦。

另外，CrowdStrike 周五发布的技术细节进一步解释了发生了什么以及为什么这么多系统同时受到影响。

CrowdStrike 的分析解释了问题核心的配置文件：

上述配置文件被称为"通道文件"，是猎鹰传感器使用的行为保护机制的一部分。对通道文件的更新是传感器运行的正常部分，每天会根据 CrowdStrike 发现的新战术、技术和程序进行多次更新。这并不是一个新流程；自 Falcon 开发完毕以来，该架构就已存在。

CrowdStrike 解释说，该文件不是内核驱动程序，而是负责"Falcon 如何在 Windows 系统上评估命名管道1的执行"。安全研究员、Objective See创始人帕特里克-沃德尔（Patrick Wardle）说，这一解释与他和其他人早些时候提供的关于崩溃原因的分析一致，因为问题文件"C-00000291-"（通过CSAgent.sys）"触发了导致操作系统崩溃的逻辑错误"。

CrowdStrike 博客的其他摘录进一步解释了出错的原因：

世界协调时 2024 年 7 月 19 日 04:09 时，作为持续运行的一部分，CrowdStrike 向 Windows 系统发布了传感器配置更新。传感器配置更新是猎鹰平台保护机制的持续组成部分。该配置更新引发了逻辑错误，导致受影响系统出现系统崩溃和蓝屏（BSOD）。

哪些系统受到影响，何时受到影响：

运行 Falcon sensor for Windows 7.11 及以上版本的系统在 04:09 UTC 至 05:27 UTC 下载更新配置时，容易发生系统崩溃。

Wardle 指出，CrowdStrike 的通道文件更新被推送到计算机上，而不考虑任何旨在阻止此类自动更新的设置。