新智元报说念 北条麻妃快播
剪辑:Aeneas 好困
【新智元导读】绝了,外媒刚刚发现:这次酿成蓝屏倒霉的CrowdStrike CEO,在Windows XP时间就曾搞崩过全球的开导。相同是一次更新,相同让开导断网,相同要东说念主工栽植。两次导致全球IT倒霉,此君不错「名敬重史」了。
微软全球蓝屏事件,破案了!
一个由「C-00000291*.sys」成立文献触发的系统逻辑乖张,短暂就破裂掉全寰宇约10亿台计较机,并在随后激发通盘的二阶、三阶效应。
就如AI大神Karpathy所言,工夫界限还存在着的单点瞬时故障,都将对东说念主类社会酿成雄壮隐患。
而这次酿周全球TI倒霉的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——
2010年在McAfee用一个更新搞崩全球开导的,的确亦然他!
逻辑乖张,触发全球大崩溃
故障发生的第一时期,就有网友向大众发出申饬——罢手通盘CrowdStrike更新!罢手通盘CrowdStrike更新!
关于事件缘故,Objective-See基金会创举东说念主Patrick Wardle也在第一时期就作念了一番瞩目造访。
领先,他稽查了故障位置——mov r9d,[r8]。其中R8属于未映射的地址。
这个位置取自指针数组(保存在RAX中),索引RDX(0x14 * 0x8)保存了一个无效的内存地址。
其他的「驱动关节」(举例「C-00000291-...32.sys」)似乎是玷污的数据,况且被「CSAgent.sys」进行了x-ref'd操作。
因此,简略是这种无效(成立/签名)的数据,触发了CSAgent.sys中的故障。
通过调试,不错更容易地判断这少量。
彰着,事故中最病笃的悬而未决的问题就是,这个「C-00000291-...xxx.sys」文献究竟是什么?
CSAgent.sys一朝援用它们,就立马崩溃了;而只须删除它们,就不错栽植崩溃。
在VT上,他还对CSAgent.sys以及来自单个故障转储的数据进行了逆向分析。
终末,Wardle共享出了CSAgent.sys的几个版块(+idb),以及多样「C-....sys」文献(包括他合计照旧包含了「栽植」的最新文献)。
他默示,由于我方莫得任何Windows系统或凭空机,是以但愿网友们能络续挖掘。
就在昨天,坏心软件各人Malware Utkonos有了更多细节的发现——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66这个地址处,似乎有一个针对0xaaaaaaaa的文献魔法检查。
这个方式,亦然「通说念文献」(Channel Files)的前四个字节。一皆为NULL的文献,就可能会导致该cmp失败。
不错看到,rcx中与0xaaaaaaaa进行比拟的值,由ExAllocatePoolWithTagPriority分拨在顶部。那边恰是摄取ZwReadFile读取的数据的缓冲区。
这个值会在之后用cmp传递给函数(Utkonos在图中将这些函数定名为里面的wdm.h函数调用)。
通过合感性检查可发现:0xaaaaaaaa字节方式仅在此处检查的「通说念文献」偏移0处出现过一次。
以下就是实践访佛cmp的地址。
不错看到,只好0xaaaaaaaa看起来不同。
CrowdStrike官方评释
很快,CrowdStrike在官博放出的评释,关于网友们疑心的问题进行了透露——
2024年7月19日04:09 UTC,CrowdStrike在抓续运营中向Windows系统发布了一次传感器成立更新,这亦然Falcon平台保护机制的一部分。 这次成立更新触发了一个逻辑乖张,导致受影响的系统出现崩溃和蓝屏(BSOD)。 导致系统崩溃的更新已于2024年7月19日05:27 UTC得到栽植。
敷陈地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/北条麻妃快播
C神偷拍其中工夫细节如下——
在Windows系统中,通说念文献位于以下目次:C:\\Windows\\System32\\drivers\\CrowdStrike\\,况且文献名以「C-」着手。每个通说念文献都有一个独一编号四肢标记。
这次事件中受影响的通说念文献为291,文献名以「C-00000291-」着手,以.sys彭胀名收尾。固然通说念文献以SYS彭胀名收尾,但它们不是内核驱动关节.
通说念文献291会影响Falcon怎样评估Windows系统上的定名管说念实践。这些定名管说念用于Windows中平方程度间或系统间通讯的机制。
周五的更新,本意是针对网罗迤逦中常见的C2框架中所使用的新发现的坏心定名管说念,但执行上却触发了系统的逻辑乖张,导致崩溃。
不外,这与通说念文献291或任何其他通说念文献中的空字节问题无关。
此事已被网友用Suno作念成歌曲
要念念归附,就必须在安全方式下启动机器,况且以腹地料理员身份登录并删除内容——这是不可能自动化的。
因此,这次瘫痪的打击面才会这样大,况且难以归附。
前次亦然他
固然CrowdStrike承认了我方的乖张,并在周五发布了说念歉声明和措置有野心。
但他们尚未评释明晰,这个破裂性的更新是如安在未进程测试和其他安全门径的情况下发布的。
当然,广阔月旦的声息运行聚集到事件的中枢东说念主物:CrowdStrike的首席实践官George Kurtz。
科技行业分析师Anshel Sag指出,这照旧不是库尔茨第一次在要紧IT事件中上演病笃变装了。
熟识的配方,熟识的滋味
2010年4月21日,杀毒软件McAfee发布了一次面向企业客户的软件更新。
取得更新后的软件会删除一个Windows系统的舛错文献,导致全球数百万台电脑崩溃并反复重启。
和CrowdStrike的乖张访佛,McAfee的问题也需要手动栽植(开导断网离线)。
而Kurtz,恰是那时McAfee的首席工夫官。
2012年,Kurtz创立了CrowdStrike,并一直担任首席实践官于今。
2010年,发生了什么?
2010年4月21日早上6点,McAfee向企业客户发布了一个「有问题」的病毒界说更新。
然后,这些自动更新的Windows XP电脑,会径直堕入「无尽重启」的轮回中,直到工夫维持东说念主员到场手动栽植。
背后的原因其实很通俗——杀毒软件在收到新的界说之后,会将一个老例的Windows二进制文献「svchost.exe」识别为病毒「W32/Wecorl.a」,并赐与放置。
一位大学IT东说念主员敷陈称,他的网罗上有1200台电脑因此瘫痪。
另一封来自好意思国企业的电子邮件称,他们有「数百名用户」受到了影响:
这个问题影响了无数用户,而通俗地替换svchost.exe并不行措置问题。你必须启动到安全方式,然后装配extra.dat文献,再手动运行vsca 戒指台。之后,你还需要删除阻遏的文献。每个用户至少有两个文献被阻遏,有些用户多达15个。不幸的是,使用这种方法,你无法细则你归附的文献中哪些是病笃的系统文献,哪些是病毒文献。
此外,还有一份来自澳大利亚的敷陈称,该国最大的超市连锁店有10%的收银机瘫痪,导致14到18家商店被动关闭。
这件事在那时的影响之大,让世东说念主纷纷惊奇:「即就是专注于开发病毒的黑客,算计都作念不出能像McAfee今天这样能赶紧『端掉』这样多机器的坏心软件。」
以下是SANS Internet Storm Center对这次事件的形色:
McAfee版块为5958的「DAT」文献,正在导致无数Windows XP SP3出现问题。受影响的系统将投入重启轮回并失去通盘网罗流畅。这个有问题的DAT文献可能会感染单个责任站以及流畅到域的责任站。 使用「ePolicyOrchestrator」来更新病毒界说文献,似乎加快了这个有问题的DAT文献的传播。ePolicyOrchestrator络续用于在企业中更新「DAT」文献,但由于受影响的系统会失去网罗流畅,它无法吊销这个有问题的签名。
Svchost.exe是Windows系统中最病笃的文献之一,它承载了险些通盘系统功能的作事。要是莫得Svchost.exe,Windows根蒂无法启动。
两起事件固然相隔14年,但却有着相同的疑心——这样的更新是怎样从测试实验室流出并投入出产作事器的。表面上,这类问题应该在测试初期就被发现并措置了才对。
何许东说念主也?
George Kurtz在新泽西州的Parsippany-Troy Hills长大,就读于Parsippany高中。
Kurtz默示,我方在四年龄时就运行在Commodore电脑上编写电子游戏关节。高中时,建立了早期的网罗换取平台——公告板系统。
他毕业于西东大学,取得司帐学学位。
随后他创办了Foundstone,并曾担任McAfee的首席工夫官。
现在,George Kurtz在与Dmitri Alperovitch共同创立的网罗安全公司CrowdStrike,担任首席实践官。
除了交易成就外,他照旧别称赛车手。
Price Waterhouse(普华永说念)和 Foundstone
大学毕业后,Kurtz在Price Waterhouse运行了他的奇迹生存,担任注册司帐师(CPA)。
1993年,Price Waterhouse让Kurtz成为其新确立的安全组的首批职工之一。
1999年,他与Stuart McClure和Joel Scambray共同撰写了《Hacking Exposed》,这是一册针对网罗料理员的网罗安全书本。该书销量朝上60万册,并被翻译成30多种说话。
同庚晚些时候,他创办了一家网罗安全公司Foundstone,这是最早挑升从事安全推敲的公司之一。Foundstone专注于疏漏料理软件和作事,并发展出了一个广受招供的事件反应业务,很多钞票100强公司都是其客户。
McAfee
McAfee在2004年8月以8600万好意思元收购了Foundstone,Kurtz因此成为McAfee的高等副总裁兼风险料理总司理。在职期内,他匡助制定了公司的安全风险料理计谋。
2009年10月,McAfee任命他为全球首席工夫官和实践副总裁。
跟着时期的推移,Kurtz对现存的安全工夫运行冉冉感到仇怨,因为他合计这些工夫莫得跟上新挟制的发展速率。
有一次,他在飞机上看到邻座乘客恭候15分钟才让McAfee软件在条记本电脑上加载实现,这一事件成为他创立CrowdStrike的灵感之一。
CrowdStrike
2011年11月,Kurtz加入私募股权公司Warburg Pincus,担任「驻企企业家」(entrepreneur-in-residence),并运行入辖下手他的下一个技俩CrowdStrike。
2012年2月,他与前Foundstone的首席财务官Gregg Marston和Dmitri Alperovitch联手,认着实立了CrowdStrike。
CrowdStrike将重心从反坏心软件和防病毒居品(McAfee的网罗安全方法)滚动到识别黑客使用的工夫,以便发现行将到来的挟制。并开发了一种「云优先」(cloud-first)方式,以减少客户计较机上的软件包袱。
2017年5月,CrowdStrike估值朝上10亿好意思元。2019年,公司在纳斯达克初次公开募股6.12亿好意思元,估值达到66亿好意思元。
2020年7月,IDC敷陈将CrowdStrike评为增长最快的端点安全软件供应商。
2024年,Kurtz仍然是CrowdStrike的总裁兼首席实践官。
的确,寰宇就是个雄壮的草台班子。
参考贵寓:
https://x.com/MalwareUtkonos/status/1814777806145847310
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
