CrowdStrike 首席执行官已就 Windows 系统崩溃向公司客户和合作伙伴道歉,公司也描述了造成灾难的错误原因。
"我想就今天的故障直接向大家表示诚挚的歉意。CrowdStrike公司的创始人兼首席执行官乔治-库尔茨(George Kurtz)在公司网站上发表的一篇题为 "我们对今天故障的声明 "的博文中写道:"CrowdStrike全体员工都理解这一情况的严重性和影响。
他重申了公司早些时候的声明,即 7 月 19 日星期五导致全球计算机瘫痪的事件并非网络攻击所致。
但他玩弄文字游戏,暗示公司的猎鹰安全平台没有故障,并暗示此次事件是一次意外。
库尔茨说:"故障是由于在针对 Windows 主机的 Falcon 内容更新中发现的一个缺陷造成的。"他说得好像这个缺陷是他的员工发现的一个自然发生的现象。
周六,该公司在一篇单独的博文中提供了这一事件的技术细节,该博文称,存在缺陷的内容更新于UTC时间周五4:09(东部时间0:09)被推送到运行该公司猎鹰传感器的Windows机器上,仅79分钟后就推送了修复程序。
当然,那时为时已晚: 许多收到更新的系统已经离线。
"博文称:"在UTC时间04:09至05:27期间下载更新配置的Windows 7.11及以上版本的猎鹰传感器系统容易发生系统崩溃。
在某些情况下,运行猎鹰传感器的系统崩溃导致航班误点、呼叫中心关闭和手术取消,因为许多受影响的 Windows 系统显示了臭名昭著的蓝屏死机。
不过,库尔茨在致客户的信中坚称:"如果安装了猎鹰传感器,不会对任何保护造成影响"。
对于没有收到有缺陷内容更新的系统来说,这可能是真的,严格来说,不再运行的系统不需要保护,但受影响的客户会质疑 CrowdStrike 是否在这关键的 79 分钟内真正保护了他们的系统。
CrowdStrike 每天都会多次更新 Falcon 平台中端点传感器的配置文件。它将这些更新称为 "通道文件"。
该公司在周六的技术博文中称,缺陷出现在一个名为 Channel 291 的文件中。该文件存储在一个名为 "C:\Windows\System32\drivers\CrowdStrike\"的目录中,文件名以 "C-00000291-"开头,以".sys "结尾。尽管文件的位置和名称相同,但 CrowdStrike 坚称该文件并非 Windows 内核驱动程序。
通道文件 291 用于向猎鹰传感器传递有关如何评估 "命名管道 "执行情况的信息。Windows 系统使用这些管道进行系统间或进程间通信,其本身并不构成威胁--尽管它们可能被滥用。
"技术博文解释说:"UTC 04:09 时进行的更新旨在针对网络攻击中常见的 C2(命令与控制)框架新近观察到的恶意命名管道。
但是,技术博文说:"配置更新引发了逻辑错误,导致操作系统崩溃。
要阻止问题再次发生,只需从文件中删除有问题的内容: "CrowdStrike 已通过更新通道文件 291 中的内容纠正了逻辑错误"。
不过,这并不能解决很多很多 Windows 机器的问题,因为它们已经下载了有问题的内容,然后就崩溃了。
针对这些问题,CrowdStrike 发布了另一篇博文,其中包含一套更长的操作,供受影响的客户执行,并提出了远程检测和自动恢复受影响系统的建议,以及受影响物理机或虚拟服务器临时变通方法的详细说明。
"该技术博文最后说:"目前未受影响的系统将继续按预期运行,继续提供保护,并且将来不会有遭遇此事件的风险。
