資安業者CrowdStrike在世界協調時間(UTC)上周五(7/19)上午4點09分(臺北時間同一天的中午12點09分)更新Windows系統上的感應器配置,觸發了邏輯錯誤,導致受影響的系統崩潰並出現藍色死亡畫面(BSOD),微軟隔天指出,僅有不到1%的Windows機器受到影響,約莫波及850萬臺Windows裝置。
Windows系統上的Falcon感應器配置更新出錯
CrowdStrike為2011年成立於美國的資安公司,主要提供雲端任務保護、端點安全、威脅情報與網路攻擊回應服務。根據CrowdStrike的解釋,他們是在周五更新了 Falcon sensor for Windows 7.11及以上版本的感測器配置 ,這些配置被稱為通道檔案(Channel Files),是Falcon感應器行為保護機器的一環,每天會進行多次的更新,以回應CrowdStrike所發現的新手法、技術與程序。
不同的通道檔案負責不同的功能,此次更新的是編號為291的通道檔,主要控制Windows系統上的Falcon如何評估命名管道(named pipe)的執行,相關管道用於Windows中的尋常、進程或不同系統間的通訊,出現問題的更新是針對網路攻擊中C&C框架所使用的惡意命名管道,它觸發了邏輯錯誤,而導致作業系統崩潰。
CrowdStrike表示,此一事件僅影響Windows作業系統,在04:09 UTC至05:27 UTC之間下載該更新的系統可能會出現問題,但並未波及Linux或macOS,也很快就針對客戶提出了修補建議。
根據外電報導,有些用戶只要重開電腦就能解決問題,萬一重開還不起作用,就必須以安全模式啟動,再刪除位於C:\Windows\System32\drivers\CrowdStrike目錄中的C-00000291*.sys檔案。
強大的後座力
CrowdStrike約占全球安全軟體市場的15%,而且根據該公司自家的宣傳,財星500大(Fortune 500)企業中,有超過一半都使用CrowdStrike產品。此一更新出錯所影響的規模更甚網路攻擊。
針對物流提供供應鏈風險管理的Interos指出,從美洲、歐洲到亞洲的主要港口都因此而暫時關閉,也有數千個航空貨運的航班停飛或延誤,在全球需求與貨運價格上漲的情況下,此一事件加劇了現有的供應鏈挑戰,等同於再一次的全球貿易鏈中斷,因為複雜的航空貨運系統可能需要數天或數周的恢復期。
受到波及的還有民航、金融、醫療、廣播業者,以及911緊急電話系統。WithSecure研究長Mikko Hypponen向紐約時報(The New York Times,YN Times)表示,這是個歷史性的事件,過去從未見過這樣的意外。
另一資安業者Errata Security執行長Robert Graham亦向華爾街日報(The Wall Street Journal,WSJ)表明,這可能是他們所遇到的、最大的IT故障。
微軟則說,雖然軟體更新偶爾會造成干擾,但像是CrowdStrike這樣的重大事件並不常見。即使只有不到1%的Windows用戶受到影響,但這些使用CrowdStrike的企業經營許多重大服務,讓此一意外對經濟及社會帶來廣泛的影響。
微軟認為,此一事件展現出全球雲端供應商、軟體平臺、安全供應商、其它軟體供應商及客戶之間的相互關聯性,亦彰顯出優先執行安全部署與災難復原的重要性。
意外發生的當天,CrowdStrike股價下挫11.1%,以304.96美元作收。
熱門新聞
2024-09-02
2024-09-02
2024-09-02
2024-09-02
2024-09-03
2024-09-02
2024-09-04
2024-09-04