微軟全球藍屏事件，破案了！

一個由「C-00000291*.sys」配置文件觸發(fā)的系統(tǒng)邏輯錯誤，瞬間就破壞掉全世界約10億臺計算機，并在隨后引發(fā)所有的二階、三階效應。

就如AI大神Karpathy所言，技術領域還存在著的單點瞬時故障，都將對人類社會造成巨大隱患。

而這次造成全球TI災難的始作俑者、CrowdStrike CEO，竟被外媒扒出已有前科——

2010年在McAfee用一個更新搞崩全球設備的，竟然也是他！

邏輯錯誤，觸發(fā)全球大崩潰

故障發(fā)生的第一時間，就有網友向大家發(fā)出警告——停止所有CrowdStrike更新！停止所有CrowdStrike更新！

對于事件起因，Objective-See基金會創(chuàng)始人Patrick Wardle也在第一時間就做了一番詳細調查。

首先，他查看了故障位置——mov r9d，[r8]。其中R8屬于未映射的地址。

這個位置取自指針數組（保存在RAX中），索引RDX（0x14 * 0x8）保存了一個無效的內存地址。

其他的「驅動程序」（例如「C-00000291-...32.sys」）似乎是混淆的數據，并且被「CSAgent.sys」進行了x-ref'd操作。

因此，或許是這種無效（配置/簽名）的數據，觸發(fā)了CSAgent.sys中的故障。

通過調試，可以更容易地判斷這一點。

顯然，事故中最重要的懸而未決的問題就是，這個「C-00000291-...xxx.sys」文件究竟是什么？

CSAgent.sys一旦引用它們，就立馬崩潰了；而只要刪除它們，就可以修復崩潰。

在VT上，他還對CSAgent.sys以及來自單個故障轉儲的數據進行了逆向分析。

最后，Wardle分享出了CSAgent.sys的幾個版本（+idb），以及各種「C-....sys」文件（包括他認為已經包含了「修復」的最新文件）。

他表示，由于自己沒有任何Windows系統(tǒng)或虛擬機，所以希望網友們能繼續(xù)挖掘。

就在昨天，惡意軟件專家Malware Utkonos有了更多細節(jié)的發(fā)現——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處，似乎有一個針對0xaaaaaaaa的文件魔法檢查。

這個模式，也是「通道文件」（Channel Files）的前四個字節(jié)。全部為NULL的文件，就可能會導致該cmp失敗。

可以看到，rcx中與0xaaaaaaaa進行比較的值，由ExAllocatePoolWithTagPriority分配在頂部。那里正是接收ZwReadFile讀取的數據的緩沖區(qū)。

這個值會在之后用cmp傳遞給函數（Utkonos在圖中將這些函數命名為內部的wdm.h函數調用）。

通過合理性檢查可發(fā)現：0xaaaaaaaa字節(jié)模式僅在此處檢查的「通道文件」偏移0處出現過一次。

以下就是執(zhí)行類似cmp的地址。

可以看到，只有0xaaaaaaaa看起來不同。

CrowdStrike官方解釋

很快，CrowdStrike在官博放出的解釋，對于網友們疑惑的問題進行了澄清——

2024年7月19日04:09 UTC，CrowdStrike在持續(xù)運營中向Windows系統(tǒng)發(fā)布了一次傳感器配置更新，這也是Falcon平臺保護機制的一部分。

這次配置更新觸發(fā)了一個邏輯錯誤，導致受影響的系統(tǒng)出現崩潰和藍屏（BSOD）。

導致系統(tǒng)崩潰的更新已于2024年7月19日05:27 UTC得到修復。

報告地址：https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

其中技術細節(jié)如下——

在Windows系統(tǒng)中，通道文件位于以下目錄：C:\Windows\System32\drivers\CrowdStrike\，并且文件名以「C-」開頭。每個通道文件都有一個唯一編號作為標識。

此次事件中受影響的通道文件為291，文件名以「C-00000291-」開頭，以.sys擴展名結尾。雖然通道文件以SYS擴展名結尾，但它們不是內核驅動程序.

通道文件291會影響Falcon如何評估Windows系統(tǒng)上的命名管道執(zhí)行。這些命名管道用于Windows中正常進程間或系統(tǒng)間通信的機制。

周五的更新，本意是針對網絡攻擊中常見的C2框架中所使用的新發(fā)現的惡意命名管道，但實際上卻觸發(fā)了系統(tǒng)的邏輯錯誤，導致崩潰。

不過，這與通道文件291或任何其他通道文件中的空字節(jié)問題無關。

此事已被網友用Suno做成歌曲

要想恢復，就必須在安全模式下啟動機器，并且以本地管理員身份登錄并刪除內容——這是不可能自動化的。

因此，這次癱瘓的打擊面才會這么大，并且難以恢復。

上次也是他

雖然CrowdStrike承認了自己的錯誤，并在周五發(fā)布了道歉聲明和解決方案。

但他們尚未解釋清楚，這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發(fā)布的。

自然，眾多批評的聲音開始集中到事件的核心人物：CrowdStrike的首席執(zhí)行官George Kurtz。

科技行業(yè)分析師Anshel Sag指出，這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。

熟悉的配方，熟悉的味道

2010年4月21日，殺毒軟件McAfee發(fā)布了一次面向企業(yè)客戶的軟件更新。

獲得更新后的軟件會刪除一個Windows系統(tǒng)的關鍵文件，導致全球數百萬臺電腦崩潰并反復重啟。

和CrowdStrike的錯誤類似，McAfee的問題也需要手動修復（設備斷網離線）。

而Kurtz，正是當時McAfee的首席技術官。

2012年，Kurtz創(chuàng)立了CrowdStrike，并一直擔任首席執(zhí)行官至今。

2010年，發(fā)生了什么？

2010年4月21日早上6點，McAfee向企業(yè)客戶發(fā)布了一個「有問題」的病毒定義更新。

然后，這些自動更新的Windows XP電腦，會直接陷入「無限重啟」的循環(huán)中，直到技術支持人員到場手動修復。

背后的原因其實很簡單——殺毒軟件在收到新的定義之后，會將一個常規(guī)的Windows二進制文件「svchost.exe」識別為病毒「W32/Wecorl.a」，并予以銷毀。

一位大學IT人員報告稱，他的網絡上有1200臺電腦因此癱瘓。

另一封來自美國企業(yè)的電子郵件稱，他們有「數百名用戶」受到了影響：

這個問題影響了大量用戶，而簡單地替換svchost.exe并不能解決問題。你必須啟動到安全模式，然后安裝extra.dat文件，再手動運行vsca 控制臺。之后，你還需要刪除隔離的文件。每個用戶至少有兩個文件被隔離，有些用戶多達15個。不幸的是，使用這種方法，你無法確定你恢復的文件中哪些是重要的系統(tǒng)文件，哪些是病毒文件。

此外，還有一份來自澳大利亞的報告稱，該國最大的超市連鎖店有10%的收銀機癱瘓，導致14到18家商店被迫關閉。

這件事在當時的影響之大，讓眾人紛紛驚嘆：「即便是專注于開發(fā)病毒的黑客，估計都做不出能像McAfee今天這樣能迅速『端掉』這么多機器的惡意軟件?！?/span>

以下是SANS Internet Storm Center對這次事件的描述：

McAfee版本為5958的「DAT」文件，正在導致大量Windows XP SP3出現問題。受影響的系統(tǒng)將進入重啟循環(huán)并失去所有網絡連接。這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。

使用「ePolicyOrchestrator」來更新病毒定義文件，似乎加速了這個有問題的DAT文件的傳播。ePolicyOrchestrator通常用于在企業(yè)中更新「DAT」文件，但由于受影響的系統(tǒng)會失去網絡連接，它無法撤銷這個有問題的簽名。

Svchost.exe是Windows系統(tǒng)中最重要的文件之一，它承載了幾乎所有系統(tǒng)功能的服務。如果沒有Svchost.exe，Windows根本無法啟動。

兩起事件雖然相隔14年，但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出并進入生產服務器的。理論上，這類問題應該在測試初期就被發(fā)現并解決了才對。

何許人也？

George Kurtz在新澤西州的Parsippany-Troy Hills長大，就讀于Parsippany高中。

Kurtz表示，自己在四年級時就開始在Commodore電腦上編寫電子游戲程序。高中時，建立了早期的網絡交流平臺——公告板系統(tǒng)。

他畢業(yè)于西東大學，獲得會計學學位。

隨后他創(chuàng)辦了Foundstone，并曾擔任McAfee的首席技術官。

目前，George Kurtz在與Dmitri Alperovitch共同創(chuàng)立的網絡安全公司CrowdStrike，擔任首席執(zhí)行官。

除了商業(yè)成就外，他還是一名賽車手。

Price Waterhouse（普華永道）和 Foundstone

大學畢業(yè)后，Kurtz在Price Waterhouse開始了他的職業(yè)生涯，擔任注冊會計師（CPA）。

1993年，Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。

1999年，他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》，這是一本針對網絡管理員的網絡安全書籍。該書銷量超過60萬冊，并被翻譯成30多種語言。

同年晚些時候，他創(chuàng)辦了一家網絡安全公司Foundstone，這是最早專門從事安全咨詢的公司之一。Foundstone專注于漏洞管理軟件和服務，并發(fā)展出了一個廣受認可的事件響應業(yè)務，許多財富100強公司都是其客戶。

McAfee

McAfee在2004年8月以8600萬美元收購了Foundstone，Kurtz因此成為McAfee的高級副總裁兼風險管理總經理。在任期內，他幫助制定了公司的安全風險管理策略。

2009年10月，McAfee任命他為全球首席技術官和執(zhí)行副總裁。

隨著時間的推移，Kurtz對現有的安全技術運行緩慢感到沮喪，因為他認為這些技術沒有跟上新威脅的發(fā)展速度。

有一次，他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢，這一事件成為他創(chuàng)立CrowdStrike的靈感之一。

CrowdStrike

2011年11月，Kurtz加入私募股權公司Warburg Pincus，擔任「駐企企業(yè)家」（entrepreneur-in-residence），并開始著手他的下一個項目CrowdStrike。

2012年2月，他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯(lián)手，正式成立了CrowdStrike。

CrowdStrike將重點從反惡意軟件和防病毒產品（McAfee的網絡安全方法）轉移到識別黑客使用的技術，以便發(fā)現即將到來的威脅。并開發(fā)了一種「云優(yōu)先」（cloud-first）模式，以減少客戶計算機上的軟件負擔。

2017年5月，CrowdStrike估值超過10億美元。2019年，公司在納斯達克首次公開募股6.12億美元，估值達到66億美元。

2020年7月，IDC報告將CrowdStrike評為增長最快的端點安全軟件供應商。

2024年，Kurtz仍然是CrowdStrike的總裁兼首席執(zhí)行官。

果然，世界就是個巨大的草臺班子。