微軟全球藍色畫面事件,破案了!
(圖源網路)
一個由「C-00000291*.sys」配置檔案觸發的系統邏輯錯誤,瞬間就破壞掉全世界約10億臺計算機,並在隨後引發所有的二階、三階效應。
就如AI大神Karpathy所言,技術領域還存在著的單點瞬時故障,都將對人類社會造成巨大隱患。
(圖源網路)
而這次造成全球TI災難的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——2010年在McAfee用一個更新搞崩全球裝置的,竟然也是他!
(圖源網路)
邏輯錯誤,觸發全球大崩潰
故障發生的第一時間,就有網友向大家發出警告——停止所有CrowdStrike更新!停止所有CrowdStrike更新!
(圖源網路)
對於事件起因,Objective-See基金會創始人Patrick Wardle也在第一時間就做了一番詳細調查。
首先,他查看了故障位置——mov r9d,[r8]。其中R8屬於未對映的地址。
這個位置取自指標陣列(儲存在RAX中),索引RDX(0x14 * 0x8)儲存了一個無效的記憶體地址。
(圖源網路)
其他的「驅動程式」(例如「C-00000291-…32.sys」)似乎是混淆的資料,並且被「CSAgent.sys」進行了x-ref'd操作。
因此,或許是這種無效(配置/簽名)的資料,觸發了CSAgent.sys中的故障。
透過除錯,可以更容易地判斷這一點。顯然,事故中最重要的懸而未決的問題就是,這個「C-00000291-…xxx.sys」檔案究竟是什麼?CSAgent.sys一旦引用它們,就立馬崩潰了;而只要刪除它們,就可以修復崩潰。在VT上,他還對CSAgent.sys以及來自單個故障轉儲的資料進行了逆向分析。
最後,Wardle分享出了CSAgent.sys的幾個版本(+idb),以及各種「C-….sys」檔案(包括他認為已經包含了「修復」的最新檔案)。
他表示,由於自己沒有任何Windows系統或虛擬機器,所以希望網友們能繼續挖掘。
就在昨天,惡意軟體專家Malware Utkonos有了更多細節的發現——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處,似乎有一個針對0xaaaaaaaa的檔案魔法檢查。
這個模式,也是「通道檔案」(Channel Files)的前四個位元組。全部為NULL的檔案,就可能會導致該cmp失敗。
可以看到,rcx中與0xaaaaaaaa進行比較的值,由ExAllocatePoolWithTagPriority分配在頂部。那裡正是接收ZwReadFile讀取的資料的緩衝區。這個值會在之後用cmp傳遞給函式(Utkonos在圖中將這些函式命名為內部的wdm.h函式呼叫)。
透過合理性檢查可發現:0xaaaaaaaa位元組模式僅在此處檢查的「通道檔案」偏移0處出現過一次。
CrowdStrike官方解釋
很快,CrowdStrike在官博放出的解釋,對於網友們疑惑的問題進行了澄清
2024年7月19日04:09 UTC,CrowdStrike在持續運營中向Windows系統釋出了一次感測器配置更新,這也是Falcon平臺保護機制的一部分。
這次配置更新觸發了一個邏輯錯誤,導致受影響的系統出現崩潰和藍色畫面(BSOD)。
導致系統崩潰的更新已於2024年7月19日05:27 UTC得到修復。
報告地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
在Windows系統中,通道檔案位於以下目錄:C:\Windows\System32\drivers\CrowdStrike\,並且檔名以「C-」開頭。每個通道檔案都有一個唯一編號作為標識。此次事件中受影響的通道檔案為291,檔名以「C-00000291-」開頭,以.sys副檔名結尾。雖然通道檔案以SYS副檔名結尾,但它們不是核心驅動程式.通道檔案291會影響Falcon如何評估Windows系統上的命名管道執行。這些命名管道用於Windows中正常程序間或系統間通訊的機制。週五的更新,本意是針對網路攻擊中常見的C2框架中所使用的新發現的惡意命名管道,但實際上卻觸發了系統的邏輯錯誤,導致崩潰。不過,這與通道檔案291或任何其他通道檔案中的空位元組問題無關。要想恢復,就必須在安全模式下啟動機器,並且以本地管理員身份登入並刪除內容——這是不可能自動化的。因此,這次癱瘓的打擊面才會這麼大,並且難以恢復。
雖然CrowdStrike承認了自己的錯誤,並在週五釋出了道歉宣告和解決方案。但他們尚未解釋清楚,這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。自然,眾多批評的聲音開始集中到事件的核心人物:CrowdStrike的執行長George Kurtz。
科技行業分析師Anshel Sag指出,這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。
2010年4月21日,防毒軟體McAfee釋出了一次面向企業客戶的軟體更新。獲得更新後的軟體會刪除一個Windows系統的關鍵檔案,導致全球數百萬臺電腦崩潰並反覆重啟。和CrowdStrike的錯誤類似,McAfee的問題也需要手動修復(裝置斷網離線)。而Kurtz,正是當時McAfee的首席技術官。2012年,Kurtz創立了CrowdStrike,並一直擔任執行長至今。
2010年,發生了什麼?
2010年4月21日早上6點,McAfee向企業客戶釋出了一個「有問題」的病毒定義更新。然後,這些自動更新的Windows XP電腦,會直接陷入「無限重啟」的迴圈中,直到技術支援人員到場手動修復。背後的原因其實很簡單——防毒軟體在收到新的定義之後,會將一個常規的Windows二進位制檔案「svchost.exe」識別為病毒「W32/Wecorl.a」,並予以銷燬。
一位大學IT人員報告稱,他的網路上有1200臺電腦因此癱瘓。
另一封來自美國企業的電子郵件稱,他們有「數百名使用者」受到了影響:
這個問題影響了大量使用者,而簡單地替換svchost.exe並不能解決問題。你必須啟動到安全模式,然後安裝extra.dat檔案,再手動執行vsca 控制檯。之後,你還需要刪除隔離的檔案。每個使用者至少有兩個檔案被隔離,有些使用者多達15個。不幸的是,使用這種方法,你無法確定你恢復的檔案中哪些是重要的系統檔案,哪些是病毒檔案。
此外,還有一份來自澳大利亞的報告稱,該國最大的超市連鎖店有10%的收銀機癱瘓,導致14到18家商店被迫關閉。這件事在當時的影響之大,讓眾人紛紛驚歎:「即便是專注於開發病毒的駭客,估計都做不出能像McAfee今天這樣能迅速『端掉』這麼多機器的惡意軟體。」
以下是SANS Internet Storm Center對這次事件的描述:
McAfee版本為5958的「DAT」檔案,正在導致大量Windows XP SP3出現問題。受影響的系統將進入重啟迴圈並失去所有網路連線。這個有問題的DAT檔案可能會感染單個工作站以及連線到域的工作站。
使用「ePolicyOrchestrator」來更新病毒定義檔案,似乎加速了這個有問題的DAT檔案的傳播。ePolicyOrchestrator通常用於在企業中更新「DAT」檔案,但由於受影響的系統會失去網路連線,它無法撤銷這個有問題的簽名。
Svchost.exe是Windows系統中最重要的檔案之一,它承載了幾乎所有系統功能的服務。如果沒有Svchost.exe,Windows根本無法啟動。兩起事件雖然相隔14年,但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出並進入生產伺服器的。理論上,這類問題應該在測試初期就被發現並解決了才對。
何許人也?
George Kurtz在新澤西州的Parsippany-Troy Hills長大,就讀於Parsippany高中。Kurtz表示,自己在四年級時就開始在Commodore電腦上編寫電子遊戲程式。高中時,建立了早期的網路交流平臺——公告板系統。他畢業於西東大學,獲得會計學學位。
隨後他創辦了Foundstone,並曾擔任McAfee的首席技術官。目前,George Kurtz在與Dmitri Alperovitch共同創立的網路安全公司CrowdStrike,擔任執行長。除了商業成就外,他還是一名賽車手。
(圖源網路)
Price Waterhouse(普華永道)和 Foundstone
大學畢業後,Kurtz在Price Waterhouse開始了他的職業生涯,擔任註冊會計師(CPA)。1993年,Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。
1999年,他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》,這是一本針對網路管理員的網路安全書籍。該書銷量超過60萬冊,並被翻譯成30多種語言。同年晚些時候,他創辦了一家網路安全公司Foundstone,這是最早專門從事安全諮詢的公司之一。Foundstone專注於漏洞管理軟體和服務,並發展出了一個廣受認可的事件響應業務,許多財富100強公司都是其客戶。
(圖源網路)
McAfee
McAfee在2004年8月以8600萬美元收購了Foundstone,Kurtz因此成為McAfee的高階副總裁兼風險管理總經理。在任期內,他幫助制定了公司的安全風險管理策略。2009年10月,McAfee任命他為全球首席技術官和執行副總裁。
隨著時間的推移,Kurtz對現有的安全技術執行緩慢感到沮喪,因為他認為這些技術沒有跟上新威脅的發展速度。有一次,他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟體在筆記型電腦上載入完畢,這一事件成為他創立CrowdStrike的靈感之一。
CrowdStrike
2011年11月,Kurtz加入私募股權公司Warburg Pincus,擔任「駐企企業家」(entrepreneur-in-residence),並開始著手他的下一個專案CrowdStrike。2012年2月,他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手,正式成立了CrowdStrike。
CrowdStrike將重點從反惡意軟體和防病毒產品(McAfee的網路安全方法)轉移到識別駭客使用的技術,以便發現即將到來的威脅。並開發了一種「雲優先」(cloud-first)模式,以減少客戶計算機上的軟體負擔。2017年5月,CrowdStrike估值超過10億美元。2019年,公司在納斯達克首次公開募股6.12億美元,估值達到66億美元。
2020年7月,IDC報告將CrowdStrike評為增長最快的端點安全軟體供應商。2024年,Kurtz仍然是CrowdStrike的總裁兼執行長。
https://x.com/MalwareUtkonos/status/1814777806145847310
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
來源:新智元(ID:AI_era)
原文連結:https://mp.weixin.qq.com/s/j5B1Gfpn0NskgOin9MDhww
聯絡我們>>
作為“工業強國建設素質素養提升‘尚工’行動”的培訓任務承擔機構,矽谷高創會正致力於開展工業強國“尚工”行動企業家培育活動,透過搭建高階行業合作圈層,為企業家賦能,在創新助力企業高質量發展方面為參加企業提供有益借鑑。若您想加入會員,融入高科技創投圈,現在就請您加入會員,加入會員可享受12期免費走進標杆企業考察,需交10000元/12期,可掃下方二維碼報名
若您有意願成為工業強國“尚工”行動企業家培育計劃合作伙伴,與矽谷高創會一同招募學員,可掃碼聯絡小助手諮詢
