2024 年 7 月 19 日服務中斷的技術細節| CrowdStrike

7 月 19 日服務中斷的技術細節

2024 年 7 月 20 日

世界標準時間 2024 年 7 月 19 日 04:09，作為持續營運的一部分，CrowdStrike 發布了 Windows 系統的感測器配置更新。感測器配置更新是 Falcon 平台保護機制的持續組成部分。此組態更新觸發了邏輯錯誤，導致受影響的系統崩潰和藍色畫面 (BSOD)。

導致系統崩潰的感測器配置更新已於 2024 年 7 月 19 日星期五 05:27 UTC 進行修復。

此問題不是網路攻擊的結果或與之相關。

在 2024 年 7 月 19 日星期五 04:09 UTC 至 2024 年 7 月 19 日星期五 05:27 UTC 期間在線運行適用於 Windows 版本 7.11 的 Falcon 感測器的客戶可能會受到影響。

運行適用於 Windows 7.11 及更高版本的 Falcon 感測器並在 UTC 時間 04:09 到 05:27 下載更新配置的系統很容易發生系統崩潰。

上述配置檔案稱為“通道檔案”，是 Falcon 感測器使用的行為保護機制的一部分。通道檔案的更新是感測器操作的正常部分，並且每天更新幾次，以響應 CrowdStrike 發現的新穎策略、技術和程序。這不是一個新流程；該架構自 Falcon 成立以來就已經存在。

在 Windows 系統上，通道檔案會駐留在下列目錄中：

C:\Windows\System32\drivers\CrowdStrike\

並且檔案名稱以“ C- ” 開頭。每個通道檔案都分配有一個編號作為唯一識別碼。此事件中受影響的通道檔案為 291，檔案名稱以「 C-00000291- 」開頭，以 .sys 副檔名結尾。儘管通道檔案以 SYS 副檔名結尾，但它們不是核心驅動程式。

頻道檔案 291 控制 Falcon 如何評估Windows 系統上的命名管道1執行。命名管道用於 Windows 中的正常、進程間或系統間通訊。

世界標準時間 04:09 發生的更新旨在針對新觀察到的、常見 C2 框架在網路攻擊中使用的惡意命名管道。配置更新觸發了邏輯錯誤，導致作業系統崩潰。

CrowdStrike 已透過更新通道檔案 291 中的內容修正了邏輯錯誤。 Falcon 仍在評估和防止命名管道的濫用。

這與通道檔案 291 或任何其他通道檔案中包含的空位元組無關。

最新的修復建議和資訊可以在我們的部落格或支援入口網站中找到。

我們了解某些客戶可能有特定的支援需求，我們要求他們直接與我們聯絡。

目前未受影響的系統將繼續按預期運行，繼續提供保護，並且將來不會遇到此事件的風險。

運行 Linux 或 macOS 的系統不使用通道檔案 291，因此不受影響。

我們了解此問題是如何發生的，並且正在進行徹底的根本原因分析，以確定此邏輯缺陷是如何發生的。這項努力將會持續下去。我們致力於確定任何可以進行的基礎或工作流程改進，以加強我們的流程。隨著調查的進展，我們將更新根本原因分析的結果。

¹https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes