上週五,世界一片混亂。 數以百萬計的 Windows 電腦突然出現藍色畫面並停止運作。這次停電導致世界各地許多機場、銀行、醫院和關鍵基礎設施癱瘓。這完全是瘋狂的。人們認為這是某種數位恐怖攻擊。也可能是這樣,但我們不知道所有細節。人們很快就發現罪魁禍首是損壞的 CrowdStrike 系統檔案!顯然,一個格式錯誤的系統檔案透過安全性更新被推送到數百萬台 Windows 電腦。 Windows 作業系統偵測到新的系統文件,嘗試重新啟動但失敗,一切都停止工作。第三方公司(CrowdStrike)可以在不進行細緻測試的情況下將檔案遠端推送到 Windows 系統,這有點瘋狂。停電後,CrowdStrike 的股價理所當然地直線下跌。這次中斷讓我想知道我們的全球 IT 基礎架構到底有多脆弱。如果像CrowdStrike 這樣的第三方供應商只需推出一個錯誤的更新就可以對全球IT 系統造成嚴重破壞,那麼如何阻止俄羅斯或北韓駭客透過滲透這些供應商並在奇怪的地方植入一些惡意軟體來造成巨大的損害呢?這是駭客新聞貼文中一則超級令人沮喪的評論:
在這種情況下,CrowdStrike 是一個 NT 核心可載入模組(一個 .sys 檔案),它執行系統呼叫層級的攔截,然後記錄到電腦上的單獨程序。如果系統呼叫試圖連接到其他節點並存取不應該存取的檔案(使用一些醉鬼啟發法),它也可以阻止系統呼叫工作。
這裡發生的事情是,他們在未經授權的情況下向每個客戶端推出了新的核心驅動程序,以解決先前 Falcon 感測器產品中存在的緩慢和延遲問題。他們有一個分期系統,本應讓客戶對此進行控制,但他們對每個人的分期和規則感到憤怒,只是將其推向生產。
這讓我們陷入困境,目前我們有 30 名人員正在從事復原和災難復原工作。我們的大多數節點都會啟動循環並出現藍屏,這在雲端不是您只需按 F8 即可刪除驅動程式的情況。我們必須真正關閉每個節點,將磁碟連接到工作節點,刪除 .sys 檔案並將其啟動。要嘛完全從快照調出一個新節點。
這很好,但 EC2 現在擠滿了這樣做的人,所以這需要很長時間。儲存延遲已經達到極限。
由於這個原因,我花了幾個月的時間才阻止這玩意的製作。我現在很忙,但平反了。
編輯:對於所有抱怨 Windows 的人,我們對 Windows 沒有任何問題。這不是 Windows 問題。這是第三方安全供應商在內核中亂搞。
人們可以按照上面所示的說明讓他們的個人電腦再次運行,但是如上所述,將修復應用到擁有數萬台電腦的大型伺服器場將是一個巨大的挑戰。這太瘋狂了,我希望這不會讓惡意的人知道如何透過第三方安全更新來控制世界。
