2024 年 7 月 19 日,全球各地網友突然發現他們的 Windows 電腦開始頻繁出現藍屏(BSOD)故障。當他們在社交媒體上吐槽時,更嚴重的危機也蔓延到了關鍵領域,包括但不限於零售、航空、金融、醫療等。比如,美國多家主要航空公司取消航班,銀行和交易所停止服務。網路安全研究員 Troy Hunt 認為,這可能是史上最大規模的 IT 故障。
還記得上一次全球性 Windows 系統崩潰,還發生在震盪波/衝擊波等蠕蟲病毒肆虐的時代。在電腦網路安全已得到空前重視的今天,這次席捲全球的 Windows 藍屏故障究竟是如何發生的呢?
▍一場由安全公司導致的全球 Windows 藍屏宕機事件
儘管國內有些新聞媒體在事件剛開始的時候,將這次宕機事故簡單描述為「Windows 系統藍屏」,並將其歸咎於使用了外國的 Windows 作業系統,但這種解釋並不成立。經過簡單分析,可以發現:
-
藍屏宕機發生的同時,國內相關服務機構的終端設備也安裝了 Windows 作業系統,但依舊正常運行並提供服務;
-
國內雖然也有 Windows 電腦出現藍屏宕機,但主要是外企的設備,國內大部分公司和個人電腦未受影響。
這些現象表明,導致這次全球 Windows 系統藍屏宕機的罪魁禍首並非微軟,而是另有其人。
隨著網友、各個機構以及微軟的介入,這場全球 Windows 系統宕機故障的原因逐漸清晰——宕機設備都安裝了 CrowdStrike 公司的安全軟體。CrowdStrike 的產品主要用於幫助企業防範勒索軟體等黑客威脅,近年來業務擴展迅速,成為該領域的主要供應商。與傳統防病毒軟體相比,其產品屬於「端點檢測和響應」類軟體,可以不斷掃描設備上的可疑活動並自動做出響應。為了實現這種級別的防護,其組件需要作為驅動程序運行在核心級別,從而帶來了造成作業系統故障的潛在風險。
那麼你肯定會覺得疑惑,CrowdStrike 是如何讓他們客戶的 Windows 電腦全部藍屏宕機的呢?
根據目前的 最新情況 來看,CrowdStrike 在安全配置文件上缺乏完善地測試,沒有嚴格進行環境測試和代碼審查,導致存在 Bug 的更新包未經過充分測試就被直接部署到生產環境;CrowdStrike 也缺乏應急回滾機制,在出現了藍屏問題以後不能及時撤銷新推送的安全配置文件;最後不少領域的機構用戶沒有冗餘備份,單一節點故障就導致業務停擺。多個原因疊加就導致了這樣不亞於蠕蟲病毒攻擊的大範圍 IT 故障。
▍始作俑者 CrowdStrike
CrowdStrike 暴露的問題遠不止 Windows 上的問題,今年四月 CrowdStrike 的一次安全更新導致部署其服務的 Debian Linux 和 Rocky Linux 伺服器無法啟動,經調查後發現是 CrowdStrike 與最新的 Debian 版本不兼容。
同時,CrowdStrike 在 Linux 事件故障響應上也備受批評,在故障發生一天後才承認故障本身,在後續更為漫長的調查後才發現問題在測試上——CrowdStrike 的測試系統矩陣中根本沒有包含最新版 Debian Linux 的配置。
當時 Rocky Linux 論壇中的記錄
而在深入挖掘 CrowdStrike 的發展史後,其實也不難發現,安全軟體導致系統崩潰這件事上,其創始人可能是個「慣犯」。
CrowdStrike 成立於 2011 年,其創始人 George Kurtz 此前是電腦安全軟體 McAfee 的首席技術官。在他任上,McAfee 也出過類似的事故——殺毒軟體將 svchost.exe 識別成惡意程序從而錯將其刪除,最終導致大量的 Windows XP SP3 循環重啟並無法上網。正是因為那次事故,導致很多 PC 用戶至今仍認為給系統安裝安全軟體反而會電腦「不穩定」。
早些年 McAfee 的類似事故
George Kurtz 曾解釋到,創建 CrowdStrike 的契機來源於一次坐航班時,隔壁乘客足足等了 15 分鐘,才讓 McAfee 軟體在自己的筆記本電腦上完全啟動。這讓他覺得需要創辦一家基於雲的數據安全公司。
CrowdStrike 主要面向企業提供基於雲的一攬子企業安全解決方案。這次導致大面積 Windows 藍屏宕機的是旗下名為 Falcon 的工具,該工具通過識別異常行為和漏洞來保護電腦系統免受惡意軟體等威脅。CrowdStrike 表示自 2011 年成立以來,CrowdStrike 已幫助調查了多起重大網路攻擊,並稱擁有「最快的平均時間」來檢測威脅。
相關宣傳內容
CrowdStrike 的服務範圍不在國內,因此國內大部分的機構和個人電腦也並未受到本次 Windows 藍屏宕機的影響。
▍如何正確的看待本次事件
2024 年 7 月 20 日,微軟和 CrowdStrike 公布了最新的調查結果和解決方案。微軟確定了一個影響 Windows 設備運行的 CrowdStrike Falcon 問題,包括藍屏錯誤資訊 0x50 和 0x7E,設備會處於反覆重啟狀態。
微軟也在第一時間發布了相關內容
想要解決這個問題,IT 工程師需要重啟並進入安全模式,刪除相關目錄下名為 C-00000291*.sys 的文件,再次重啟系統即可恢復正常。由於宕機導致設備無法遠程訪問,這樣的恢復操作只能由 IT 工程師在線下手動進行。不過,雲伺服器中的 Windows 電腦沒有安全模式,IT 工程師需要挨個手動連接到虛擬硬盤再刪除。
與此同時,CrowdStrike 也將更新回滾,避免重現故障,至此這次事件暫時告一段落。微軟提供了專門的 修復工具 ,輔助 IT 工程師通過 Windows PE 環境,自動刪除有問題的 CrowdStrike 文件來讓機器正常啟動;CrowdStrike 則提供了一份新的 幫助文檔 ,來輔助 IT 工程師修復電腦;CrowdStrike 還提醒道,有新的惡意程序在以「crowdstrike-hotfix.zip」(crowdstrike 問題修復補丁)的名義在網際網路上傳播。
雖然事件暫時告一段落,但我們需要客觀和理性地看待這次事件。在事件剛發生時,很多媒體在沒有徹底了解事情緣由的情況下,斷然認為這是因為微軟 Windows 作業系統本身存在問題,並藉機無腦炒作,使得本來單純的事件複雜化。
在隱私模式下用關鍵詞搜索這次事件時,不少「流量黨」藉機炒作
事實上,始作俑者 CrowdStrike 主要面向企業提供服務,因此受到影響的主要是企業用戶,對於一般用戶幾乎沒有影響。微軟估計,受到此次藍屏宕機事件影響的 Windows 電腦可能有 850 萬台大概占總數的 1%。
由於受影響的主要是服務業等「窗口行業」,在輿論傳播時,故障的嚴重程度被無形放大。國內大多數的 Windows 用戶都平安無事,沒有使用 CrowdStrike 的企業電腦也沒有受到影響。因此,單就 Windows 作業系統本身而言,依舊是可靠且值得信賴的。
這次事件確實對安全廠商的形象造成了一定損害,CrowdStrike 在軟體開發和測試過程中存在的重大漏洞是導致此次全球 Windows 藍屏宕機的根源。提醒安全廠商需要在頻繁的安全更新與充分的測試之間需要找到一個平衡點,在增強安全同時,減少風險和不確定性。
這次事件後,CrowdStrike 作為安全軟體的侵入性也被不少人所詬病,突顯了高權限防病毒和 EDR(端點檢測與響應)解決方案的潛在風險和不足。有網友認為:「為了避免類似問題的再次發生,重新設計防病毒和 EDR 解決方案,降低其對高權限的依賴,顯得尤為重要」。
當下,設計防病毒更成熟的解決方案則是採用 eBPF。eBPF 是一個核心里的虛擬機,允許開發者在不修改核心源代碼或加載核心模塊的情況下,在核心中安全地運行用戶定義的代碼。
這個特性使得 eBPF 成為一個強大的監控和過濾工具,基於 eBPF 的工具也不會讓核心崩潰。目前微軟正在全力開發 Windows 版本的 eBPF ,相信未來 Windows 上安全軟體也可以移植到 eBPF 上,更安全的同時也能顯著減少這次藍屏事件的發生。
當然,我們一般用戶也不能因為此次事件就「一朝被蛇咬,十年怕井繩」,讓自己的電腦「裸奔」。畢竟此次 Windows 大面積藍屏宕機只是偶發事件,且主要影響的是企業客戶。但如果因為沒有安裝安全軟體或者關閉安全軟體而導致個人資料被加密勒索或泄漏,得不償失。
