上周五,世界一片混乱。 数以百万计的 Windows 电脑突然出现蓝色画面并停止运作。这次停电导致世界各地许多机场、银行、医院和关键基础设施瘫痪。这完全是疯狂的。人们认为这是某种数位恐怖攻击。也可能是这样,但我们不知道所有细节。人们很快就发现罪魁祸首是损坏的 CrowdStrike 系统档案!显然,一个格式错误的系统档案透过安全性更新被推送到数百万台 Windows 电脑。 Windows 作业系统侦测到新的系统文件,尝试重新启动但失败,一切都停止工作。第三方公司(CrowdStrike)可以在不进行细致测试的情况下将档案远端推送到 Windows 系统,这有点疯狂。停电后,CrowdStrike 的股价理所当然地直线下跌。这次中断让我想知道我们的全球 IT 基础架构到底有多脆弱。如果像CrowdStrike 这样的第三方供应商只需推出一个错误的更新就可以对全球IT 系统造成严重破坏,那么如何阻止俄罗斯或北韩骇客透过渗透这些供应商并在奇怪的地方植入一些恶意软体来造成巨大的损害呢?这是骇客新闻贴文中一则超级令人沮丧的评论:
在这种情况下,CrowdStrike 是一个 NT 核心可载入模组(一个 .sys 档案),它执行系统呼叫层级的拦截,然后记录到电脑上的单独程序。如果系统呼叫试图连接到其他节点并存取不应该存取的档案(使用一些醉鬼启发法),它也可以阻止系统呼叫工作。
这里发生的事情是,他们在未经授权的情况下向每个客户端推出了新的核心驱动程序,以解决先前 Falcon 感测器产品中存在的缓慢和延迟问题。他们有一个分期系统,本应让客户对此进行控制,但他们对每个人的分期和规则感到愤怒,只是将其推向生产。
这让我们陷入困境,目前我们有 30 名人员正在从事复原和灾难复原工作。我们的大多数节点都会启动循环并出现蓝屏,这在云端不是您只需按 F8 即可删除驱动程式的情况。我们必须真正关闭每个节点,将磁碟连接到工作节点,删除 .sys 档案并将其启动。要嘛完全从快照调出一个新节点。
这很好,但 EC2 现在挤满了这样做的人,所以这需要很长时间。储存延迟已经达到极限。
由于这个原因,我花了几个月的时间才阻止这玩意的制作。我现在很忙,但平反了。
编辑:对于所有抱怨 Windows 的人,我们对 Windows 没有任何问题。这不是 Windows 问题。这是第三方安全供应商在内核中乱搞。
人们可以按照上面所示的说明让他们的个人电脑再次运行,但是如上所述,将修复应用到拥有数万台电脑的大型伺服器场将是一个巨大的挑战。这太疯狂了,我希望这不会让恶意的人知道如何透过第三方安全更新来控制世界。
