圖片來源/u/Sam7493 on reddit

將近一周後,資安軟體業者CrowdStrike昨(24)日說明,一個驗證軟體的臭蟲加上一連串錯誤,引發了全球Windows電腦大當機事件。

CrowdStrike發布事件後初步檢討(Preliminary Post Incident Review),詳細說明7月19日大規模Windows版藍色死亡螢幕(BSOD)事件是如何發生的。CrowdStrike是透過將安全防護內容,包括惡意程式特徵等發布到其端點感測器。其中包括內含在感測器中的內容,以及業者需透過網路經常更新到用戶端的快速回應內容(Rapid Response Content)。這次事件就是發生更新快速回應內容的環節上一個未預期的錯誤。

快速回應內容是為對抗網路威脅,進行惡意程式行為特徵比對,它一般是儲存在CrowdStrike專屬二進位檔,這個檔內含一些配置內容。在日常更新中,CrowdStrike伺服器以內容配置更新機制將快速回應內容派送到端點。派送內容更新的系統涉及三個機制,主要是驗證更新內容,確認無誤,最後發布通道檔(Channel Files)更新給端點。驗證動作由內容驗證器(Content Validator)檢查包含安全更新內容的IPC範本執行個體(Template Instances)。

CrowdStrike指出,在4月時都還測試正常的IPC範本執行個體,但在上星期五之前某個時間點出了錯。另一方面,負責驗證的內容驗證器也出了個臭蟲,以致於發布的2個範本執行個體中有1個包含有問題的內容資料,但卻成功通過驗證,並部署到營運環境中。於是在7月19日當天,內含問題內容的通道檔(Channel File)291發布給了Falcon平臺的端點,引發越界(out-of-bounds)記憶體讀取,觸發例外,又加上這例外未能獲得妥善處置,最後導致Windows系統BSOD事件。

微軟估計,全球有850萬臺Windows機器因此停機。雖然不到所有Windows電腦的1%,但卻造成全球機場、港口、醫院停擺數小時,以及重大財務損失。

CrowdStrike說明該公司預防事件重演的修正措施,包括強化安全偵測(快速回應內容)的多項測試,並對內容驗證器加強驗證檢查,也加強內容解譯器(Content Interpreter)對既有錯誤處理的能力。此外,該公司也將使用逐步部署策略連同加強監控、提高客戶控管能力,以及在release notes提供更多資訊給客戶,防範事件快速蔓延。該公司也計畫導入外部組織來驗證軟體程式碼,及其作業流程。

熱門新聞

Advertisement