7月25日消息,近日,因CrowdStrike故障导致全球约850万台Windows电脑蓝屏死机的事件引发了广泛关注。7月24日,CrowdStrike官网发布了关于此次Windows大范围蓝屏事件的初步审查报告,并表示将在后续公开发布详细的根本原因分析。
crowdstrike
初步审查报告显示,UTC时间2024年7月19日星期五04:09(北京时间12:09),CrowdStrike作为常规操作的一部分,发布了Windows传感器的内容配置更新,以收集有关可能的新型威胁技术的遥测数据。然而,这次的内容配置更新存在问题,导致了Windows系统的崩溃。受影响的设备包括运行传感器版本7.11及更高版本的Windows主机。
具体来说,在UTC时间2024年7月19日星期五04:09至05:27期间在线并收到更新的Windows主机受到了影响,而Mac和Linux主机则不受影响。幸运的是,内容更新中的缺陷已在UTC时间2024年7月19日星期五05:27(北京时间13:27)得到修复。在此时间之后上线的系统或在之前的窗口期内未连接更新的系统没有受到影响。
CrowdStrike通过两种方式向传感器提供安全内容配置更新:直接随传感器附带的内容以及快速响应内容更新。此次的问题涉及快速响应内容更新,其中存在未检测到的错误。当传感器接收并加载到有问题的内容到内容解释器中时,导致了内存读取越界,从而触发了异常。由于无法妥善处理此意外异常,Windows操作系统因此崩溃(BSOD)。
为了应对此次事件,CrowdStrike官方也发布了补救措施,包括改进快速响应内容测试、实施交错部署策略以及进行多个独立的第三方安全代码审查等。这些措施旨在提高软件的弹性和测试能力,改进快速响应内容的部署策略,并通过第三方验证来确保软件的质量。
除了初步的事故后审查外,CrowdStrike还致力于在调查完成后公开发布完整的根本原因分析,以向用户提供更全面的解释和解决方案。