CrowdStrike說明全球當機事件起於驗證軟體一隻臭蟲

將近一周後，資安軟體業者CrowdStrike昨（24）日說明，一個驗證軟體的臭蟲加上一連串錯誤，引發了全球Windows電腦大當機事件。

CrowdStrike發布事件後初步檢討（Preliminary Post Incident Review），詳細說明7月19日大規模Windows版藍色死亡螢幕（BSOD）事件是如何發生的。CrowdStrike是透過將安全防護內容，包括惡意程式特徵等發布到其端點感測器。其中包括內含在感測器中的內容，以及業者需透過網路經常更新到用戶端的快速回應內容（Rapid Response Content）。這次事件就是發生更新快速回應內容的環節上一個未預期的錯誤。

快速回應內容是為對抗網路威脅，進行惡意程式行為特徵比對，它一般是儲存在CrowdStrike專屬二進位檔，這個檔內含一些配置內容。在日常更新中，CrowdStrike伺服器以內容配置更新機制將快速回應內容派送到端點。派送內容更新的系統涉及三個機制，主要是驗證更新內容，確認無誤，最後發布通道檔（Channel Files）更新給端點。驗證動作由內容驗證器（Content Validator）檢查包含安全更新內容的IPC範本執行個體（Template Instances）。

CrowdStrike指出，在4月時都還測試正常的IPC範本執行個體，但在上星期五之前某個時間點出了錯。另一方面，負責驗證的內容驗證器也出了個臭蟲，以致於發布的2個範本執行個體中有1個包含有問題的內容資料，但卻成功通過驗證，並部署到營運環境中。於是在7月19日當天，內含問題內容的通道檔（Channel File）291發布給了Falcon平臺的端點，引發越界（out-of-bounds）記憶體讀取，觸發例外，又加上這例外未能獲得妥善處置，最後導致Windows系統BSOD事件。

微軟估計，全球有850萬臺Windows機器因此停機。雖然不到所有Windows電腦的1%，但卻造成全球機場、港口、醫院停擺數小時，以及重大財務損失。

CrowdStrike說明該公司預防事件重演的修正措施，包括強化安全偵測（快速回應內容）的多項測試，並對內容驗證器加強驗證檢查，也加強內容解譯器（Content Interpreter）對既有錯誤處理的能力。此外，該公司也將使用逐步部署策略連同加強監控、提高客戶控管能力，以及在release notes提供更多資訊給客戶，防範事件快速蔓延。該公司也計畫導入外部組織來驗證軟體程式碼，及其作業流程。