|
北京時(shí)間2024年7月19日中午開始,全球多地用戶在X(原推特)��、臉書����、微博等社交平臺(tái)反映使用微軟系統(tǒng)的電腦出現(xiàn)藍(lán)屏現(xiàn)象,至少20多個(gè)國家的交通��、金融����、醫(yī)療、零售等行業(yè)或公共服務(wù)的業(yè)務(wù)系統(tǒng)受到影響��。其原因是使用CrowdStrike公司終端安全產(chǎn)品的Windows操作系統(tǒng)的主機(jī)大面積發(fā)生系統(tǒng)崩潰故障��,即“藍(lán)屏死機(jī)”(Blue Screen of Death,BSOD)���,導(dǎo)致計(jì)算機(jī)系統(tǒng)無法正常運(yùn)行����。出現(xiàn)故障的終端并不止限于桌面終端�,而是覆蓋了大量的服務(wù)器和云節(jié)點(diǎn),包括導(dǎo)致了多個(gè)重要的微軟和AWS的云服務(wù)和租戶服務(wù)中斷���。而且相關(guān)主機(jī)重新啟動(dòng)后依然會(huì)自動(dòng)進(jìn)入藍(lán)屏狀態(tài)���,形成了反復(fù)崩潰閉環(huán)。此事件是今年以來全球波及范圍最廣的信息系統(tǒng)災(zāi)難性事件�,也是由安全產(chǎn)品自身導(dǎo)致的最大規(guī)模的安全災(zāi)難事件,其事件帶來的后果影響遠(yuǎn)遠(yuǎn)超過了2007年的賽門鐵客誤殺中文版Windows導(dǎo)致系統(tǒng)藍(lán)屏事件等歷史上由安全產(chǎn)品帶來的安全事件����。北京時(shí)間7月19日19時(shí),安天由云安全中心�、安全研究與應(yīng)急處理中心、攻防實(shí)驗(yàn)室人員組成混合分析小組����,進(jìn)行了跟進(jìn)分析,及時(shí)將分析研判進(jìn)展上報(bào)管理和應(yīng)急部門����,開發(fā)了CrowdStrike_Crash_Fix應(yīng)急處理小工具,協(xié)助求助用戶處理威脅�,并發(fā)布了本分析報(bào)告。 CrowdStrike是美國主要的云��、終端安全廠商之一,成立于2011年����,2024年6月其市值一度接近千億美元,是全球市值最大的網(wǎng)絡(luò)安全上市公司之一�。其開發(fā)的云本地端點(diǎn)保護(hù)平臺(tái)CrowdStrike Falcon,開啟了多租戶����、云原生、智能安全解決方案的先河����,結(jié)合了下一代殺毒軟件、威脅情報(bào)���、端點(diǎn)檢測(cè)和響應(yīng)(EDR)��、設(shè)備控制�、威脅情報(bào)搜索和IT安全運(yùn)營��、事件響應(yīng)和主動(dòng)服務(wù)���。平臺(tái)設(shè)置了獨(dú)立模塊用于管理系統(tǒng)漏洞和移動(dòng)終端檢測(cè)和響應(yīng)����,還通過跨越多個(gè)大型安全市場(chǎng)的SaaS模型提供19個(gè)云模塊��,包括企業(yè)端點(diǎn)安全����、云安全、托管安全服務(wù)��、安全和IT運(yùn)營��、威脅情報(bào)����、身份保護(hù)和日志管理等。 就本次事件����,CrowdStrike給出的解釋是,該公司的終端安全軟件“Falcon Sensor”推送的錯(cuò)誤的配置更新與Windows系統(tǒng)發(fā)生了兼容性問題����,導(dǎo)致安裝了該安全軟件的計(jì)算機(jī)出現(xiàn)藍(lán)屏情況。后續(xù)該公司代表在其客戶支持平臺(tái)回復(fù)稱公司工程部已確定該問題與其產(chǎn)品的“內(nèi)容部署(Content deployment)”功能有關(guān),目前已經(jīng)撤銷了錯(cuò)誤更新���,并在積極調(diào)查此事����。 這是一起因廣泛使用的安全產(chǎn)品故障��,導(dǎo)致大量主機(jī)系統(tǒng)兵潰��,并連帶導(dǎo)致大量基礎(chǔ)設(shè)施系統(tǒng)無法提供服務(wù)導(dǎo)致了多米諾效應(yīng)的事件��。該事件造成了美國����、英國、澳大利亞����、加拿大、日本等至少20多個(gè)國家和地區(qū)的組織機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)服務(wù)中斷���,全球多地的航空運(yùn)輸����、醫(yī)療服務(wù)、媒體�、銀行與金融服務(wù)、零售����、餐飲等行業(yè)或公共服務(wù)受到了影響。 表1 受到影響的行業(yè)領(lǐng)域����、國家地區(qū)與相關(guān)機(jī)構(gòu)涉及領(lǐng)域 | 相關(guān)機(jī)構(gòu) | 航空運(yùn)輸 | 美國����、澳大利亞、英國����、荷蘭、印度��、捷克���、匈牙利���、西班牙����、中國香港���、瑞士等部分航空公司出現(xiàn)航班延誤或機(jī)場(chǎng)服務(wù)中斷��。美國達(dá)美航空����、美國航空和忠實(shí)航空宣布停飛所有航班����。 | 媒體通信 | 以色列郵政、法國電視頻道TF1��、TFX����、LCI和Canal Group網(wǎng)絡(luò)、愛爾蘭國家廣播公司RTé���、加拿大廣播公司��、沃豐達(dá)集團(tuán)�、電話和互聯(lián)網(wǎng)服務(wù)提供商Bouygues Telecom等。
| 交通運(yùn)輸 | 澳大利亞貨運(yùn)列車運(yùn)營商Aurizon��、西日本旅客鐵道公司��、馬來西亞鐵路運(yùn)營商KTMB�、英國鐵路公司、澳大利亞獵人線和南部高地線的區(qū)域列車等���。
| 銀行與 金融服務(wù) | 加拿大皇家銀行���、加拿大道明銀行��、印度儲(chǔ)備銀行、印度國家銀行��、新加坡星展銀行���、巴西布拉德斯科銀行���、西太平洋銀行����、澳新銀行����、聯(lián)邦銀行、本迪戈銀行等�。 | | 零售 | 德國連鎖超市Tegut����、部分麥當(dāng)勞和星巴克�、迪克體育用品公司、英國雜貨連鎖店Waitrose��、新西蘭的Foodstuffs和Woolworths超市等。
| 醫(yī)療服務(wù) | 紀(jì)念斯隆凱特琳癌癥中心���、英國國家醫(yī)療服務(wù)體系、德國呂貝克和基爾的兩家醫(yī)院��、北美部分醫(yī)院等����。
| …… | …… |
主要受到影響的領(lǐng)域����,更多詳情見 附錄二:受到影響的組織機(jī)構(gòu)清單 。
本次事件對(duì)國內(nèi)政企機(jī)構(gòu)影響較小,主要由于CrowdStrike是對(duì)中國大陸禁售產(chǎn)品��,國內(nèi)主要相關(guān)外資企業(yè)和部分使用微軟數(shù)據(jù)中心的企業(yè)部分受到此次故障影響了相關(guān)業(yè)務(wù)。如國內(nèi)希爾頓酒店集團(tuán)旗下的上?���?等R德酒店��,其入住和退房服務(wù)受到了影響。
當(dāng)然���,這也給小組的分析工作造成了障礙����。 2.1 手動(dòng)刪除帶有問題的文件(原廠方案) CrowdStrike公司的業(yè)務(wù)支撐體系是高度在線化的���,其在僅由注冊(cè)客戶可見的網(wǎng)頁發(fā)布了解決方案,非其客戶無法訪問����,但有受影響的用戶公開分享了該官方解決方案:
1.將Windows重啟至安全模式或恢復(fù)模式,或用WinPE啟動(dòng)�; “%systemroot%\System32\drivers\CrowdStrike”文件夾��; 3.刪除其中文件名為“C-00000291*.sys”(*表示任意字符)的文件; 4.正常重啟系統(tǒng)��。 以下為更完整的事件說明及解決方案�,對(duì)于公有云等類似環(huán)境的用戶可通過下圖中“備份并掛載磁盤到臨時(shí)虛擬系統(tǒng)”的方法對(duì)錯(cuò)誤文件進(jìn)行處理���。 同時(shí)���,對(duì)于使用了BitLocker卷加密的用戶,需要準(zhǔn)備好恢復(fù)密鑰�,再進(jìn)入安全模式進(jìn)行操作�。  圖2?1 事件說明及解決方案
2.2 小工具CrowdStrike_Crash_Fix(安天發(fā)布) 安天CERT在7月19日晚發(fā)布了臨時(shí)處置小工具CrowdStrike_Crash_Fix����,已經(jīng)上傳至安天垂直響應(yīng)平臺(tái)(https://vs2./)。可將Windows重啟至安全模式或恢復(fù)模式后,使用該工具一鍵處理異常文件�。根據(jù)受影響用戶的反饋��,該工具可以顯著節(jié)省處置所需時(shí)間���。(當(dāng)前工具更新至V0.5版本,已經(jīng)支持基于WinPE介質(zhì)啟動(dòng)后的處置)���。圖 2?2 安天臨時(shí)處置工具CrowdStrike_Crash_Fix 3.1 CrowdStrike 的工作機(jī)理解析 CrowdStrike Falcon Sensor 是非常典型的具有內(nèi)核(驅(qū)動(dòng))級(jí)主防的EDR產(chǎn)品��,其在Windows平臺(tái)下安裝/預(yù)裝后��,將對(duì)應(yīng)程序文件安裝到%ProgramFiles% \CrowdStrike指向的目錄下��,而將其驅(qū)動(dòng)程序和重要的數(shù)據(jù)文件安裝到%SystemRoot%\System32\ drivers\CrowdStrike 目錄下。其主要的防御能力來自于多個(gè)系統(tǒng)內(nèi)核驅(qū)動(dòng)模塊�。其中CSBoot.sys是Windows 操作系統(tǒng)的提前啟動(dòng)反惡意軟件(ELAM)功能模塊(利用微軟接口實(shí)現(xiàn)安全軟件要比惡意代碼先行加載以保證引導(dǎo)鏈安全的機(jī)制);CSFirmwareAnalysis.sys是固件安全模塊����;CSAgent.sys是主防護(hù)的核心功能模塊��;cspcm4.sys為策略解析模塊�。加載的先后順序依次為CSBoot.sys���、CSFirmwareAnalysis.sys、CSDeviceControl.sys、CSAgent.sys、cspcm4.sys�。表3-1 CrowdStrike的主要驅(qū)動(dòng)程序模塊列表 | 文件名 | 描述 | 應(yīng)用程序 | CSFalconService.exe | 主要的服務(wù)進(jìn)程 | CSFalconController.exe | 后臺(tái)控制程序 | CSFirmwareAnalysisSupportTool.exe | 固件分析工具 | CSDeviceControlSupportTool.exe | 外部設(shè)備管控 | 驅(qū)動(dòng)和內(nèi)核模塊 | CSBoot.sys | 操作系統(tǒng)的早期啟動(dòng)反惡意軟件(ELAM)功能模塊��,用于保護(hù)驅(qū)動(dòng)程序加載 | csfirmwareanaltsis.sys | 固件安全模塊 | cspcm4.sys | 內(nèi)核注冊(cè)回調(diào)接口模塊,為CSAgent.sys提供回調(diào)接口 | Config.sys | 管理策略配置的模塊 | CSAgent.sys | 主要的功能模塊��,它包含文件過濾��、網(wǎng)絡(luò)過濾��、進(jìn)程管控 | CSDeviceControl.sys | USB設(shè)備過濾驅(qū)動(dòng) |
發(fā)生藍(lán)屏的模塊CSAgent.sys是其主要的功能模塊��,該模塊帶有CrowdStrike和微軟的雙重?cái)?shù)字簽名。根據(jù)安天攻防實(shí)驗(yàn)室的初步分析��,它包含文件監(jiān)測(cè)��、運(yùn)行監(jiān)測(cè)、網(wǎng)絡(luò)過濾等功能,是其主動(dòng)防御和主機(jī)防火墻的核心驅(qū)動(dòng)。基本的運(yùn)行原理是:驅(qū)動(dòng)程序加載后首先讀取策略配置����,根據(jù)策略對(duì)文件讀寫、進(jìn)程加載����、內(nèi)存執(zhí)行、API調(diào)用����、網(wǎng)絡(luò)訪問等動(dòng)作���,做出放行與阻止操作����;優(yōu)秀的主機(jī)安全軟件為了快速敏捷的對(duì)抗威脅���,即時(shí)更新防護(hù)能力����,往往都支持在線分發(fā)���、可動(dòng)態(tài)接收��、即時(shí)解析生效下發(fā)的策略���,這樣可以靈活變更配置處理突發(fā)事件而不用重啟系統(tǒng)����,CrowdStrike就使用了這種機(jī)制�。但由于驅(qū)動(dòng)程序直接調(diào)用系統(tǒng)內(nèi)核接口,模塊的穩(wěn)定性對(duì)系統(tǒng)內(nèi)核會(huì)有直接影響��,可能是由于某個(gè)不當(dāng)?shù)牟呗耘渲?�,在解析?zhí)行策略時(shí)���,未能正確處理好和系統(tǒng)間的同步機(jī)制或者是系統(tǒng)資源分配不當(dāng),造成系統(tǒng)死鎖問題����,引發(fā)藍(lán)屏保護(hù)。3.2 對(duì)相關(guān)文件格式和機(jī)理的分析猜測(cè) 該事件中“藍(lán)屏”故障的錯(cuò)誤代碼為“PAGE_FAULT_IN_NONPAGED_AREA”���,藍(lán)屏信息中出現(xiàn)錯(cuò)誤的驅(qū)動(dòng)程序?yàn)椤癈SAgent.sys”��。結(jié)合官方處置建議中刪除“C-00000291*.sys”文件的處置方案��,可以明確判斷本次事件直接原因是由于“CSAgent.sys”加載和解析使用存在錯(cuò)誤設(shè)定的“C-00000291*.sys”文件所致�。與CSAgent.sys 等驅(qū)動(dòng)程序相同目錄下(%Windows%\%System32%\drivers\CrowdStrike),存在多個(gè)文件名前兩個(gè)字母為“C-”�,且均以sys為拓展名的文件,我們需要嚴(yán)肅指出:這些C-*.sys命名的文件并不是驅(qū)動(dòng)程序文件���,網(wǎng)上對(duì)本事件一些分析中���,將這些也稱為系統(tǒng)文件或驅(qū)動(dòng)程序文件,有望擴(kuò)展名生義的錯(cuò)誤����。Windows中sys為擴(kuò)展名的系統(tǒng)文件(或稱為驅(qū)動(dòng)文件),格式上是以|4D 5A|為文件頭的PE可執(zhí)行文件���,例如發(fā)生崩潰的CSAgent.sys就是一個(gè)PE文件��,而在對(duì)應(yīng)目錄下以“C-“為統(tǒng)一開頭的“sys”為擴(kuò)展名的文件����,應(yīng)是一類自定義格式的數(shù)據(jù)文件��。這些文件均以|AA AA AA AA|為文件頭����,并不具備執(zhí)行能力�,或者至少不具備在系統(tǒng)下直接執(zhí)行的能力���。在CrowdStrike所公布的信息中���,將這些文件稱為“通道文件”(Channel Files),聲明其是 Falcon Sensor的配置文件����,用于CrowdStrike防御機(jī)制的日常更新。因此可以基本判斷相關(guān)文件主要類似規(guī)則/策略/基線的數(shù)據(jù)文件���。這些“通道文件”以C-xxxxxxxx-00000000-xxxxxxxx.sys格式進(jìn)行命名,其文件第一個(gè)字符C��,含義推測(cè)為CrowdStrike的首字母����。隨后有三個(gè)阿拉伯?dāng)?shù)字節(jié),每節(jié)長度均為8位���,其中第一節(jié)數(shù)字為通道號(hào)�,轉(zhuǎn)換為16進(jìn)制后與文件中的固定偏移0x6處數(shù)值對(duì)應(yīng)�;采集到的全部文件的第二節(jié)數(shù)字值都固定為0,故只能猜測(cè)其與固定偏移0xC處數(shù)值(所有數(shù)值亦均為零)對(duì)應(yīng);第三節(jié)數(shù)字值轉(zhuǎn)換為16進(jìn)制后與文件中固定偏移0x10處數(shù)值相對(duì)應(yīng)�。 圖3-1 事故對(duì)應(yīng)的通道文件的文件頭與其中的值和文件名的對(duì)應(yīng)關(guān)系
由于相關(guān)產(chǎn)品機(jī)理復(fù)雜,尚未能判斷這些通道文件具體的功能��。對(duì)文件內(nèi)容觀測(cè),判斷文件經(jīng)過了一定的編碼變換���,但似乎未使用分組算法進(jìn)行加密�。我們分析了文件的命名規(guī)律�,含義猜測(cè)如下:第一節(jié)數(shù)字即通道號(hào)���,是為其規(guī)則/配置庫編號(hào),而且設(shè)定了對(duì)應(yīng)的值域范圍對(duì)應(yīng)的規(guī)則/配置分類��,第二節(jié)為保留段�,第三節(jié)為對(duì)用的規(guī)則/配置庫更新的次數(shù)(即版本)。圖3-2 C-系列文件的類型序號(hào)(猜測(cè))和更新次數(shù)(猜測(cè))關(guān)系分布圖3-3 C-系列文件的更新次數(shù)(猜測(cè))與文件大小的關(guān)系基于以上兩個(gè)統(tǒng)計(jì)分析��,我們可以看到管道號(hào)是按照值域部分連續(xù)分布的,而相對(duì)大的文件��,我們猜測(cè)為更新次數(shù)的數(shù)值越大,基本驗(yàn)證我們對(duì)于文件命名規(guī)則的猜測(cè)是有依據(jù)的。 CrowdStrike對(duì)于相關(guān)漏洞的官方解釋為: 此次涉及到的 以“C-00000291”作為文件名開頭���、 “.sys”作為擴(kuò)展名的文件屬于配置文件,也被稱作“Channel Files”����。這些文件是Falcon Sensor行為防護(hù)機(jī)理的一部分���。這些文件在日常運(yùn)營中根據(jù)CrowdStrike 監(jiān)測(cè)到的每日威脅技戰(zhàn)術(shù)情況����,一天會(huì)更新若干次���。文件以C開頭,每個(gè)“通道文件”被分配了唯一的編號(hào)作為標(biāo)識(shí)�。此次造成影響的是291�,相關(guān)文件以“C-00000291-”開頭,用“.sys”作為擴(kuò)展名����。雖然使用驅(qū)動(dòng)文件的擴(kuò)展名��,但這些文件不是驅(qū)動(dòng)程序���。291通道文件���,控制Falcon對(duì)Windows上的“命名管道(Named Pipe)”執(zhí)行動(dòng)作進(jìn)行評(píng)估�?���!懊艿馈笔浅S眉夹g(shù),通常在Windows環(huán)境中用于進(jìn)程間通信或系統(tǒng)間通信���。該文件的更新發(fā)生在UTC 時(shí)間 04:09,由新監(jiān)測(cè)到的網(wǎng)絡(luò)攻擊C2框架中使用的惡意命名管道觸發(fā)���。但由于更新中觸發(fā)了一個(gè)邏輯錯(cuò)誤,導(dǎo)致了操作系統(tǒng)崩潰。安天分析小組對(duì)此進(jìn)一步推測(cè)291文件中包含了關(guān)于命名管道相關(guān)的攻擊的檢測(cè)和拒止規(guī)則��,其針對(duì)的攻擊可能包括命名管道枚舉����、命名管道提權(quán)��、命名管道偽造等攻擊�。我們也在分析微軟本月補(bǔ)丁中與管道漏洞是否有關(guān)���,以及近期公開的漏洞是否是這次“失敗的更新”的肇始����。 3.3 復(fù)現(xiàn)分析相關(guān)問題的努力由于CrowdStrike公司禁止中國大陸的地區(qū)下載相關(guān)產(chǎn)品��,因此在出現(xiàn)事件后����,分析小組只有相關(guān)軟件的早期版本����。安天攻防實(shí)驗(yàn)室依托較為有限的資源,將獲取到出現(xiàn)問題的sys文件進(jìn)行組合進(jìn)行分析。但由于分析環(huán)境的限制�,目前并未實(shí)現(xiàn)穩(wěn)定的漏洞復(fù)現(xiàn)。 圖3-4 安天攻防實(shí)驗(yàn)室復(fù)現(xiàn)CrowdStrike驅(qū)動(dòng)未正確處理系統(tǒng)同步導(dǎo)致藍(lán)屏 圖3-5 安天工程師對(duì)CSAgent模塊的雙機(jī)調(diào)試分析該事件的直接原因已經(jīng)比較清晰�,是廣泛安裝于大量Windows主機(jī)的CrowdStrike產(chǎn)品的CSAgent.sys模塊所加載利用數(shù)據(jù)配置文件C-00000291*.sys存在問題,導(dǎo)致的系統(tǒng)崩潰����。此前也有聲音懷疑問題是否由微軟的補(bǔ)丁發(fā)布導(dǎo)致,但根據(jù)目前的各方公開的信息梳理����。CrowdStrike已經(jīng)承認(rèn)問題來自于UTC時(shí)間7月19日 04:09其發(fā)布了用于管控命名管道的配置更新即C-*291.sys,立即導(dǎo)致了���,微軟Azure云上的Windows虛擬機(jī)開始發(fā)生此類重啟和崩潰問題��。至UTC 時(shí)間 05:27 CrowdStrike撤銷了此更新��,此后啟動(dòng)的主機(jī)將不受影響。基于上述時(shí)間過程�,整體可以認(rèn)為CrowdStrike方面已經(jīng)確認(rèn)了事件來自自身。從長期的外部印象來看,CrowdStrike長期面對(duì)復(fù)雜的主機(jī)和工作負(fù)載場(chǎng)景���、有廣泛的客戶部署���、產(chǎn)品需要面對(duì)西方軍政機(jī)構(gòu)客戶��、國際大型企業(yè)客戶的嚴(yán)格品控要求����,因此起測(cè)試和品管體系因該是比較完善的,而與操作系統(tǒng)的兼容性測(cè)試必然是其重點(diǎn)����。但無法驗(yàn)證其測(cè)試體系是否能細(xì)粒度到達(dá)每一次規(guī)則策略更新,并能堅(jiān)持灰度分發(fā)和監(jiān)測(cè)/回滾等策略����。這起事件究竟是“黑天鵝”��,還是“灰犀?�!薄>烤故瞧錂z測(cè)發(fā)布機(jī)制依然存在重大流程問題�,還是因?yàn)樘囟ㄔ虺霈F(xiàn)了一個(gè)“黑洞式”的時(shí)間差,還需要等待更多信息公開判斷。同時(shí)我們也需要繼續(xù)關(guān)注分析這是否是一次巧妙的供應(yīng)鏈預(yù)制攻擊事件���。1、事件源自供應(yīng)鏈攻擊的可能性依然不能排除�,且至少昭示了一種新的威脅樣板:雖然CrowdStrike給出了對(duì)本事件的官方解釋是這不是一起網(wǎng)絡(luò)安全事件�,而是一起質(zhì)量事故����。但我們依然認(rèn)為僅憑現(xiàn)有信息不能排除這是一嚴(yán)重的安全軟件供應(yīng)鏈攻擊事件。由于安全產(chǎn)品在防御體系中往往處于關(guān)鍵位置�,如:網(wǎng)絡(luò)邊界(如安全網(wǎng)關(guān))�、實(shí)時(shí)監(jiān)測(cè)(如主機(jī)殺毒和防護(hù)軟件)或業(yè)務(wù)流程之上(如身份認(rèn)證),因此攻擊安全軟件�,特別是攻擊安全軟件的供應(yīng)鏈體系��,有可能產(chǎn)生比攻擊應(yīng)用軟件或應(yīng)用軟件供應(yīng)鏈更為嚴(yán)重的后果����,SolarWinds的供應(yīng)鏈攻擊讓我們看到了入侵開發(fā)環(huán)境大范圍建立下游橫向移動(dòng)橋頭堡的可能�,而本次事件從后果上昭示出了利用安全軟件供應(yīng)鏈達(dá)成大范圍崩潰癱瘓的風(fēng)險(xiǎn)。而這種構(gòu)造可以完全不依賴于注入代碼���,而是可以利用安全產(chǎn)品對(duì)配置��、庫���、數(shù)據(jù)的解析機(jī)理���,通過解析錯(cuò)誤或者流程異常�,導(dǎo)致崩潰或DoS的后果��。 2��、正視主機(jī)和工作負(fù)載的安全是網(wǎng)絡(luò)安全的基石型需求:此次事件是CrowdStrike在全球龐大的裝機(jī)規(guī)模與Windows系統(tǒng)作用耦合的結(jié)果�。但我們不應(yīng)只將目光聚集在事故本身。更需要看到主機(jī)系統(tǒng)側(cè)威脅檢測(cè)防御能力是必須強(qiáng)化建設(shè)的剛需環(huán)節(jié)��。CrowdStrike飛速發(fā)展的基礎(chǔ)����,正源自先進(jìn)計(jì)算架構(gòu)的崛起導(dǎo)致的源自傳統(tǒng)安全邊界的失效,安全對(duì)抗從聚焦于網(wǎng)絡(luò)檢測(cè)和攔截的御敵于城門之外���,轉(zhuǎn)入必須全面應(yīng)對(duì)主機(jī)系統(tǒng)側(cè)的惡意代碼�、混合執(zhí)行體攻擊��、漏洞組合利用和社工釣魚的深水區(qū)���。隨著數(shù)字化轉(zhuǎn)型����、資產(chǎn)云化、泛在接入和加密協(xié)議的普遍使用���,防火墻���、網(wǎng)閘等傳統(tǒng)訪問控制邊界或數(shù)據(jù)交換邊界已經(jīng)全面塌陷�,安全的基石正在重回主機(jī)系統(tǒng)一側(cè),系統(tǒng)安全能力即需要跟隨現(xiàn)代計(jì)算結(jié)構(gòu)的延展在云主機(jī)��、虛擬化���、容器中延展����,也需要進(jìn)一步強(qiáng)化傳統(tǒng)終端����、工業(yè)和專用場(chǎng)景工作站、移動(dòng)設(shè)備等提供安全防護(hù)?�,F(xiàn)代防御體系既要構(gòu)建出防御縱深����,也必須構(gòu)建網(wǎng)狀的聯(lián)動(dòng)體系�。讓每一個(gè)主機(jī)和工作負(fù)載系統(tǒng)的單點(diǎn)防護(hù)能力形成組織和彈性�,實(shí)現(xiàn)攻擊者攻擊一點(diǎn)即被感知,其載荷���、戰(zhàn)術(shù)將快速被捕獲轉(zhuǎn)化為情報(bào)共享���,快速形成其他節(jié)點(diǎn)的防御能力。正是在這個(gè)大趨勢(shì)下��,國際傳統(tǒng)的Big AV企業(yè)依托在惡意代碼檢測(cè)和內(nèi)核主防的深刻積累����,繼續(xù)保持自己的強(qiáng)勢(shì)存在。更使CrowdStrike實(shí)現(xiàn)了快速的發(fā)展崛起�。而本次事件的關(guān)注點(diǎn),不應(yīng)僅僅放在安全產(chǎn)品自身安全性這一視角上��。而更要關(guān)注我國長期存在的����,不夠重視主機(jī)系統(tǒng)側(cè)安全能力建設(shè)�����、缺乏投入而帶來的低效防護(hù)問題才是我們面對(duì)的顯示問題�����。一些場(chǎng)景下�����,現(xiàn)實(shí)場(chǎng)景下是終端系統(tǒng)感染式病毒���、蠕蟲���、宏病毒事件此起彼伏,而規(guī)劃中卻又在討論著未知檢測(cè)����、APT防護(hù)和人工智能�����。部分主機(jī)安全產(chǎn)品缺少可靠的惡意代碼檢測(cè)能力,為降低成本��,普遍采用檢測(cè)能力嚴(yán)重不足的開源反病毒引擎ClamAV�����;甚至忽視供應(yīng)鏈風(fēng)險(xiǎn)����,在沒有商業(yè)授權(quán)下,直接二進(jìn)制嵌入國外反病毒引擎���。部分產(chǎn)品缺少有效的驅(qū)動(dòng)防護(hù)和阻斷機(jī)制��,只能通過少數(shù)Ring3 HOOK采集信息����,基本無法看到隱蔽攻擊行為�����。在主機(jī)配置加固方面��,很多產(chǎn)品只能管理幾十個(gè)配置點(diǎn),而相比之下�,美方STIG的安全規(guī)范,平均每種操作系統(tǒng)的安全配置點(diǎn)已達(dá)600多個(gè)����。面對(duì)這種差距,對(duì)CrowdStrike開啟嘲諷模式是沒有意義的�����,反而應(yīng)該正視在主機(jī)安全側(cè)普遍存在的防護(hù)缺失問題�����。安全防護(hù)能力必須在系統(tǒng)側(cè)持續(xù)強(qiáng)化��,必須構(gòu)建最小化的安全邊界���,堆砌盒子的方式越來越難以達(dá)成防御價(jià)值,伴隨先進(jìn)計(jì)算架構(gòu)���,將系統(tǒng)安全和威脅檢測(cè)能力深度融合才是安全的未來����。 3、安全產(chǎn)品�,包括安全產(chǎn)品的研發(fā)環(huán)境和全生命周期需要被高度重視:由于應(yīng)用軟件和平臺(tái)具有更高的用戶可見性,關(guān)系用戶業(yè)務(wù)連續(xù)性��,因此網(wǎng)絡(luò)管理者往往更關(guān)注應(yīng)用軟件特別是平臺(tái)系統(tǒng)的更新測(cè)試和部署流程���。而安全軟件為對(duì)抗威脅�����,對(duì)抗部署后的能力衰減����,需要更高頻度的升級(jí)��,類似病毒庫需要高頻的升級(jí),策略庫��、漏洞庫也需要更新迭代�。由于這些升級(jí)��,基本上都在后臺(tái)自動(dòng)化運(yùn)行���,往往容易成為自身測(cè)試的盲點(diǎn)��,客戶側(cè)場(chǎng)景下的黑箱���。由于安全產(chǎn)品具備安全功能��,容易給用戶帶來信任感���,但安全產(chǎn)品的安全功能和安全產(chǎn)品本身的安全的并不等價(jià),如果安全廠商不重視自身的產(chǎn)品的安全性��,越多的功能則會(huì)帶來更大的不安全�。但與此同時(shí),也建議用戶���,不因?yàn)楸臼录?duì)能力升級(jí)帶來過度恐慌��,從而拒絕升級(jí)�����。安全軟件如果不能及時(shí)升級(jí),會(huì)導(dǎo)致相對(duì)威脅演進(jìn)����,監(jiān)測(cè)防護(hù)能力快速衰減�����。這就給攻擊突防帶來了更大的機(jī)會(huì)窗口�����,全面提升攻擊者的成功率��,導(dǎo)致用戶在規(guī)避偶然性風(fēng)險(xiǎn)的同時(shí)��,導(dǎo)致了必然性風(fēng)險(xiǎn)�����。 4�����、驅(qū)動(dòng)級(jí)主防是必須的����,但需要更加可靠健壯安全:從物理主機(jī)到虛擬化的防護(hù)來看�����,盡管出現(xiàn)了這樣重大的安全事件,我們依然堅(jiān)信驅(qū)動(dòng)級(jí)主防是必須的�����?����;隍?qū)動(dòng)和內(nèi)核模塊進(jìn)行安全防護(hù)雖然確實(shí)有更大的導(dǎo)致系統(tǒng)可靠性的風(fēng)險(xiǎn)���,但內(nèi)核級(jí)防護(hù)的安全穩(wěn)定性����,應(yīng)通過更自動(dòng)和全面的測(cè)試等來保障��,而非因噎廢食��。如果沒有內(nèi)核級(jí)的主防�����,僅靠Ring3層面的HOOK和采集點(diǎn)���,不但幾乎很難攔截和阻斷威脅���,甚至無法實(shí)現(xiàn)有效的威脅感知,并可能很容易被攻擊者刪除或卸載�����。這種防護(hù)雖然一定程度上降低了系統(tǒng)出現(xiàn)底層故障的風(fēng)險(xiǎn)���,但卻將客戶場(chǎng)景帶入到隨時(shí)可能被攻擊者擊穿的狀態(tài)中�����。系統(tǒng)安全產(chǎn)品的Agent應(yīng)實(shí)現(xiàn)更好的積木化����,可以根據(jù)用戶的防御能力和資源利用情況��,讓用戶在底層防護(hù)���、或輕量監(jiān)測(cè)中可以選擇�����,而不是借此放大用戶對(duì)驅(qū)動(dòng)級(jí)主防的恐懼感�,而將用戶引入弱防御的風(fēng)險(xiǎn)境地。當(dāng)然我們也同樣認(rèn)為驅(qū)動(dòng)級(jí)主防的設(shè)計(jì)��、實(shí)現(xiàn)和規(guī)則運(yùn)營����,必須高度謹(jǐn)慎,要將盡可能多的威脅攔截在運(yùn)行之前����,而盡量避免進(jìn)入到內(nèi)存對(duì)決狀態(tài),這也是我們執(zhí)行體治理理念的重要導(dǎo)向��。 5���、現(xiàn)代計(jì)算結(jié)構(gòu)有可能進(jìn)一步從虛擬化向容器前移:在工作負(fù)載的解決方案中���,虛擬化方案是相對(duì)較重載的,一旦出現(xiàn)底層安全問題���,則難以修復(fù)���。例如本次事故中的公有云虛擬機(jī)即使重啟后,也會(huì)再次藍(lán)屏,因無法連接遠(yuǎn)程桌面�,也自然無法采取進(jìn)入安全模式的方式恢復(fù)。相比來看��,容器 金絲雀發(fā)布的組合����,則相對(duì)能減少更新/部署故障���。預(yù)測(cè)在本次事件后��,除數(shù)據(jù)中心和邊緣云外��,獨(dú)立工作負(fù)載使用容器技術(shù)的進(jìn)程�,會(huì)大幅提速��。而虛擬化支持相對(duì)不夠理想的信創(chuàng)架構(gòu)來說���,是一個(gè)利好�。但與此同時(shí)��,簡單的依托物理主機(jī)安全平移到虛擬化中來支撐云解決方案的傳統(tǒng)端點(diǎn)安全廠商����,則面臨難以滿足容器安全需求的新挑戰(zhàn)�����。始終跟隨先進(jìn)計(jì)算架構(gòu)的演進(jìn)���、防護(hù)先進(jìn)計(jì)算架構(gòu),是安全廠商基業(yè)長青的重要保障���。 6��、我們沒有心存僥幸的資本:美國寡頭資本和政客竭力在網(wǎng)絡(luò)安全問題上反復(fù)抹黑中國����,推動(dòng)中美脫鉤����,持續(xù)在中美網(wǎng)信產(chǎn)業(yè)間制造裂痕,這使網(wǎng)絡(luò)安全產(chǎn)業(yè)已經(jīng)不可逆的在走向陣營化���。特別是CrowdStrike反復(fù)參與抹黑中國的活動(dòng)��,在面對(duì)本次重大全球事件中也顯示出冷漠和傲慢��,讓我們對(duì)其有很大的反感情緒�����。但我們依然認(rèn)為���,雖然發(fā)生了如此嚴(yán)重的事件,不能掩蓋CrowdStrike在產(chǎn)品研發(fā)和運(yùn)營層面有著超強(qiáng)實(shí)力��,其依然是國際最優(yōu)秀的安全企業(yè)之一���。安天作為同樣以惡意代碼檢測(cè)分析為能力基本面�����、以平臺(tái) AI賦能為運(yùn)行支撐�����、以主機(jī)系統(tǒng)側(cè)安全為基石場(chǎng)景的安全企業(yè)���,面對(duì)國際同行的發(fā)生重大事件,我們沒有幸災(zāi)樂禍的資本����,而必須將本次事件視為產(chǎn)業(yè)的共同教訓(xùn)����。系統(tǒng)安全是一種和保護(hù)對(duì)象深度耦合的產(chǎn)品形態(tài)��,我們將保持對(duì)用戶場(chǎng)景更深的敬畏����。而對(duì)中國網(wǎng)絡(luò)安全產(chǎn)業(yè)來說,這一次災(zāi)難發(fā)生于身外�����,并非說明我們通過了“大考”�,只能說:真正需要我們應(yīng)對(duì)的風(fēng)險(xiǎn),還潛伏在不遠(yuǎn)的未來���。也相信投身系統(tǒng)安全的同仁們都勇于積極應(yīng)對(duì)系統(tǒng)安全面臨的巨大挑戰(zhàn)����,致力于研發(fā)創(chuàng)造和運(yùn)營先進(jìn)安全能力�����。我們不應(yīng)因高水平驅(qū)動(dòng)和內(nèi)核模塊防御有極高穩(wěn)定性、可靠性要求而退縮�,轉(zhuǎn)而炒作輕量級(jí)Agent等概念;不應(yīng)因強(qiáng)化自身防御環(huán)境和全聲明周期的代碼安全需要巨大投入而躲避必須的建設(shè)成本��。更不應(yīng)事不關(guān)己���、自我標(biāo)榜�����,甚至興災(zāi)樂禍;對(duì)我們自己來說��,從別人的事件中找到我們自己的改進(jìn)點(diǎn)��,在繼續(xù)提升系統(tǒng)側(cè)安全能力和防護(hù)效果的同時(shí)����,持續(xù)強(qiáng)化自身的安全左移、協(xié)助客戶完善能力分發(fā)運(yùn)行流程�����,才是負(fù)責(zé)任的網(wǎng)安企業(yè)必須擔(dān)當(dāng)?shù)呢?zé)任�����! 而從另一個(gè)角度看,國內(nèi)政企機(jī)構(gòu)有龐大的Windows主機(jī)用戶基數(shù)�����,能在這樣的大規(guī)模事件中幾乎未受到波及�,正說明中國網(wǎng)絡(luò)安全產(chǎn)業(yè)和技術(shù)自立自強(qiáng)的重大意義。雖然中國網(wǎng)安產(chǎn)業(yè)體系在市場(chǎng)尚未充分發(fā)育時(shí)�����,陷入了低水平�����、過飽和競爭的焦灼狀態(tài)��,但在發(fā)展新質(zhì)生產(chǎn)力征程中����,我們必將成長為具有決定性的強(qiáng)大產(chǎn)業(yè)力量。 [1] 關(guān)于賽門鐵克查殺中文XP系統(tǒng)文件問題的事件分析���,安天CERT���,2007 [2] CrowdStrike Update Pushing Windows Machines Into a BSOD Loophttps:///crowdstrike-update-bsod-loop/ [3] Tech Alert Windows crashes related to Falcon Sensorhttps://supportportal./s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19 [4] BSOD error in latest crowdstrike updatehttps://www./r/crowdstrike/comments/1e6vmkf/comment/ldvwkbn/ 表0-1 受到影響的組織機(jī)構(gòu)清單受害機(jī)構(gòu) | 行業(yè)領(lǐng)域 | 總部所在地 | 受影響情況 | 聯(lián)合航空 | 航空服務(wù) | 美國 | 臨時(shí)停飛所有飛機(jī) | 達(dá)美航空 | 航空服務(wù) | 美國 | 臨時(shí)暫停航班計(jì)劃 | 美國航空地面?��?空?/span> | 航空服務(wù) | 美國 | 臨時(shí)停飛所有飛機(jī) | 阿拉斯加州 | 應(yīng)急服務(wù) | 美國 | 服務(wù)中斷 | 亞利桑那州 | 應(yīng)急服務(wù) | 美國 | 服務(wù)中斷 | 新罕布什爾州的911服務(wù) | 應(yīng)急服務(wù) | 美國 | 服務(wù)中斷 | 醫(yī)院電子病歷系統(tǒng) | 醫(yī)療 | 美國 | 大面積計(jì)算機(jī)故障 | 天空新聞 | 媒體 | 英國 | 停播 | 英中貿(mào)易協(xié)會(huì) | 媒體 | 英國 | 停播 | 愛丁堡機(jī)場(chǎng) | 機(jī)場(chǎng) | 英國 | 自動(dòng)登機(jī)系統(tǒng)失效 | 蓋特威克機(jī)場(chǎng) | 機(jī)場(chǎng) | 英國 | 航班延誤 | NHS服務(wù) | 健康服務(wù) | 英國 | 無法查看和管理病歷、開具和管理處方或預(yù)約 | 倫敦證券交易所 | 金融服務(wù) | 英國 | 無法在其網(wǎng)站上推送新聞更新 | 立博科洛 | 零售商 | 英國 |
| 英國某鐵路公司 | 交通 | 英國 |
| 上?����?等R德酒店 | 服務(wù) | 英國 | 無法辦理入住及退房 | ABC | 媒體 | 澳大利亞 |
| SBS | 媒體 | 澳大利亞 |
| 七號(hào)電視網(wǎng) | 媒體 | 澳大利亞 |
| 九號(hào)電視網(wǎng) | 媒體 | 澳大利亞 |
| 澳洲航空 | 航空服務(wù) | 澳大利亞 |
| 維珍澳洲航空 | 航空服務(wù) | 澳大利亞 |
| 捷星航空 | 航空服務(wù) | 澳大利亞 |
| 悉尼機(jī)場(chǎng) | 機(jī)場(chǎng) | 澳大利亞 | 影響部分航空公司運(yùn)營 | 墨爾本機(jī)場(chǎng) | 機(jī)場(chǎng) | 澳大利亞 | 影響值機(jī)程序,建議乘客咨詢相關(guān)航空公司 | Woolworths | 超級(jí)市場(chǎng) | 澳大利亞 | 支付系統(tǒng)癱瘓 | Coles | 超級(jí)市場(chǎng) | 澳大利亞 | 支付系統(tǒng)癱瘓 | 澳大利亞國民銀行 | 銀行 | 澳大利亞 | 應(yīng)用程序受到影響 | 澳新銀行 | 銀行 | 澳大利亞 | 應(yīng)用程序受到影響 | 聯(lián)邦銀行 | 銀行 | 澳大利亞 | 應(yīng)用程序受到影響 | 本迪戈銀行 | 銀行 | 澳大利亞 | 應(yīng)用程序受到影響 | Suncorp | 銀行 | 澳大利亞 | 應(yīng)用程序受到影響 | 澳大利亞KFC | 餐飲服務(wù) | 澳大利亞 | 支付系統(tǒng)癱瘓 | 自助結(jié)賬系統(tǒng) | 零售商 | 澳大利亞 | 支付系統(tǒng)癱瘓 | 道明加拿大信托移動(dòng)應(yīng)用程序 | 銀行 | 加拿大 |
| 大阪環(huán)球影城 | 服務(wù) | 日本 | 所有系統(tǒng)癱瘓 | 大阪蘑菇餐廳 | 餐飲服務(wù) | 日本 | 所有系統(tǒng)癱瘓 | 日本麥當(dāng)勞 | 餐飲服務(wù) | 日本 | 所有系統(tǒng)癱瘓 | 西日本旅客鐵道公司 | 交通 | 日本 | 無法獲取列車行駛位置信息 | 火車票購買 | 交通 | 比利時(shí) | 公共交通的車票無法出售 | 數(shù)字公告 | 交通 | 比利時(shí) |
| JOE | 媒體 | 比利時(shí) |
| QMusic | 媒體 | 比利時(shí) |
| 布魯塞爾機(jī)場(chǎng) | 機(jī)場(chǎng) | 比利時(shí) |
| 沙勒羅瓦機(jī)場(chǎng) | 機(jī)場(chǎng) | 比利時(shí) |
| 比利時(shí)某銀行 | 金融 | 比利時(shí) |
| 比利時(shí)某郵政服務(wù) | 服務(wù) | 比利時(shí) |
| TF1 | 電視頻道 | 法國 |
| TFX | 電視頻道 | 法國 |
| LCI | 電視頻道 | 法國 |
| Canal | 電視頻道 | 法國 |
| 2024 年巴黎奧運(yùn)會(huì)的系統(tǒng) | 應(yīng)用系統(tǒng) | 法國 | 制服和證件發(fā)放受到影響�����,減緩運(yùn)營速度���,新聞中心的認(rèn)證柜臺(tái)關(guān)閉�,安檢只能手動(dòng)進(jìn)行姓名核對(duì)。 | 空中交通管制 | 交通服務(wù) | 克羅地亞 |
| 中央衛(wèi)生信息系統(tǒng) | 醫(yī)療 | 克羅地亞 |
| 漢莎航空 | 航空服務(wù) | 德國 | 公司網(wǎng)站的'資料和預(yù)訂查詢'功能出現(xiàn)問題 | 柏林機(jī)場(chǎng) | 機(jī)場(chǎng) | 德國 | 部分航班延誤或取消 | 荷爾斯泰因大學(xué)醫(yī)院 | 醫(yī)療 | 德國 |
| 香港國際機(jī)場(chǎng) | 機(jī)場(chǎng) | 香港特別行政區(qū) | 無法自動(dòng)辦理登機(jī)手續(xù),須改用人工辦理登機(jī)手續(xù) | 國泰航空 | 航空服務(wù) | 香港特別行政區(qū) |
| 香港快運(yùn) | 航空服務(wù) | 香港特別行政區(qū) |
| 香港航空 | 航空服務(wù) | 香港特別行政區(qū) |
| 維斯塔拉航空 | 航空服務(wù) | 印度 | IT服務(wù)中斷 | 印度航空 | 航空服務(wù) | 印度 | IT服務(wù)中斷 | 靛藍(lán)航空 | 航空服務(wù) | 印度 | IT服務(wù)中斷 | 阿卡薩航空 | 航空服務(wù) | 印度 | IT服務(wù)中斷 | 香料航空 | 航空服務(wù) | 印度 | IT服務(wù)中斷 | 甲骨文 | IT | 印度 | 設(shè)備陷入啟動(dòng)循環(huán)無法恢復(fù) | 諾基亞 | IT | 印度 | 設(shè)備陷入啟動(dòng)循環(huán)無法恢復(fù) | 紅大衛(wèi)盾會(huì)醫(yī)院:謝巴醫(yī)院 | 醫(yī)療 | 以色列 | 緊急服務(wù)熱線受到影響 | 拉尼亞多醫(yī)院 | 醫(yī)療 | 以色列 | 等待時(shí)間增加及手術(shù)延誤 | 拉姆巴姆醫(yī)院 | 醫(yī)療 | 以色列 | 等待時(shí)間增加及手術(shù)延誤 | 制藥公司 | 醫(yī)療 | 以色列 | 全面停產(chǎn) | 以色列郵政 | 服務(wù) | 以色列 |
| 鐵路運(yùn)營商 KTMB 的售票系統(tǒng) | 鐵路交通 | 馬來西亞 | 出現(xiàn)技術(shù)問題 | 泛航航空公司 | 航空服務(wù) | 荷蘭 | 服務(wù)中斷 | 皇家航空公司 | 航空服務(wù) | 荷蘭 | 服務(wù)中斷 | 史基浦機(jī)場(chǎng) | 機(jī)場(chǎng) | 荷蘭 |
| KNAB銀行 | 銀行 | 荷蘭 |
| 澳新銀行 | 金融 | 新西蘭 |
| ASB | 金融 | 新西蘭 |
| 新西蘭銀行 | 金融 | 新西蘭 |
| 西太平洋銀行 | 金融 | 新西蘭 |
| Woolworths | 零售服務(wù) | 新西蘭 | 支付系統(tǒng)癱瘓 | 奧克蘭交通局 | 交通 | 新西蘭 |
| 基督城機(jī)場(chǎng) | 機(jī)場(chǎng) | 新西蘭 |
| 宿務(wù)太平洋航空航班 | 航空服務(wù) | 菲律賓 | 航班延誤 | 濟(jì)州航空 | 航空服務(wù) | 韓國 |
| 樟宜機(jī)場(chǎng) | 機(jī)場(chǎng) | 新加坡 | 服務(wù)中斷 | ENAIRE’s Aena | 航空服務(wù) | 西班牙 | IT服務(wù)中斷 | 蘇黎世機(jī)場(chǎng) | 機(jī)場(chǎng) | 瑞士 | 飛機(jī)禁止降落 | 布拉格機(jī)場(chǎng) | 機(jī)場(chǎng) | 捷克 | 值機(jī)系統(tǒng)中斷����,航班延誤 | Amazon | 云服務(wù) | 美國 | 內(nèi)部服務(wù)系統(tǒng)及使用其AWS服務(wù)的公司 |
(1)事件發(fā)展情況媒體報(bào)道 7月18日,科技媒體Windows Latest發(fā)文稱有網(wǎng)友反饋���,在安裝Windows 11的7月份累積更新 KB5040442 過程中��,曾多次遇到0x80d02002�、0x800f081f���、0x80073cf3等錯(cuò)誤�。還有網(wǎng)友反饋����,連續(xù)安裝3次KB5040442更新���,每次都會(huì)報(bào)告0x80d02002錯(cuò)誤����。CrowdStrike事件發(fā)生后���,相關(guān)信息引起關(guān)注�,但目前沒有證據(jù)證明兩個(gè)事件存在相關(guān)性。 7月18日����,UTC大約21點(diǎn)56分開始,Azure平臺(tái)的部分客戶遇到了在美國中部區(qū)域服務(wù)中斷的問題�,涉及多個(gè)服務(wù)的管理操作���、連接性和可用性故障。CrowdStrike事件發(fā)生后�����,相關(guān)信息引起關(guān)注�。但微軟表示相關(guān)事件與CrowdStrike無關(guān)����。 7月19日�����,04:09世界標(biāo)準(zhǔn)時(shí)間(UTC)(北京時(shí)間12:09)����,CrowdStrike發(fā)布了一個(gè)針對(duì)Windows系統(tǒng)的傳感器配置更新�。這個(gè)配置更新是Falcon平臺(tái)保護(hù)機(jī)制的一部分。這次更新觸發(fā)了一個(gè)邏輯錯(cuò)誤����,導(dǎo)致受影響系統(tǒng)的藍(lán)屏死機(jī)。在06:48 UTC��,Google Compute Engine也報(bào)告了這個(gè)問題���。導(dǎo)致系統(tǒng)崩潰的傳感器配置更新已于北京時(shí)間7月19日13:27修復(fù)����。 7月19日�����,在北京時(shí)間下午5:40的更新中�����,微軟表示:“我們已經(jīng)意識(shí)到影響運(yùn)行Windows客戶端和Windows服務(wù)器的虛擬機(jī)的問題�����,這些虛擬機(jī)運(yùn)行CrowdStrike的Falcon軟件�����,可能會(huì)遇到錯(cuò)誤檢查(BSOD,藍(lán)屏死機(jī))并卡在重啟狀態(tài)�。我們估計(jì)影響開始于7月18日19:00 UTC(世界標(biāo)準(zhǔn)時(shí)間)左右?���!?/span> 7月19日早間,美國聯(lián)邦航空管理局(FAA)發(fā)出警報(bào)表示�����,美國航空���、聯(lián)合航空和達(dá)美航空已請(qǐng)求FAA對(duì)所有航班實(shí)施全球停飛��。FAA要求空中交通管制員告知飛行員�����,航空公司目前遇到了通信問題����。 7月19日早晨��,CrowdStrike創(chuàng)始人兼CEO喬治·庫爾茨接受美國全國廣播公司(NBC)節(jié)目《今日》訪問時(shí)說:“我們對(duì)于給客戶�����、游客及其他所有受影響的人,包括我們公司本身造成的影響深表歉意����?�!贝送?,庫爾茨表示目前許多客戶已重啟系統(tǒng)恢復(fù)運(yùn)作,但還有一些無法自動(dòng)恢復(fù)的系統(tǒng)可能得花一些時(shí)間���,而該公司會(huì)確保每位客戶的系統(tǒng)都能完全恢復(fù)��。 7月19日下午�����,中國香港機(jī)場(chǎng)管理局表示�,由于微軟系統(tǒng)出現(xiàn)故障���,機(jī)場(chǎng)受影響航空公司須改用人手辦理登記手續(xù)��,航班運(yùn)作暫未受影響��。受影響航空公司改用人手辦理登記手續(xù)���,已啟動(dòng)緊急應(yīng)變機(jī)制跟進(jìn)���,呼吁旅客預(yù)留充足時(shí)間。 7月19日下午17時(shí)45分����,喬治·庫爾茨在社交媒體X上回應(yīng)稱:“CrowdStrike正積極與受Windows主機(jī)單次內(nèi)容更新中發(fā)現(xiàn)缺陷影響的客戶合作。Mac和Linux主機(jī)不受影響��。這不是安全事件或網(wǎng)絡(luò)攻擊�����。目前已確定��、隔離了該問題��,并部署了修復(fù)程序�。” 7月19日晚間����,微軟稱根本問題已經(jīng)得到解決����。官方賬號(hào)Microsoft 365
Status在X(原推特)平臺(tái)上發(fā)文寫道:“根本原因已得到修復(fù)����,但殘余影響仍在繼續(xù)影響一些Microsoft 365應(yīng)用和服務(wù)。我們正在采取額外的緩解措施以提供幫助�?��!?/span> (2)相關(guān)專家觀點(diǎn) 英國《衛(wèi)報(bào)》引述知名網(wǎng)絡(luò)安全顧問特洛伊·亨特(Troy Hunt)的分析認(rèn)為�����,這可能是“歷史上規(guī)模最大的IT故障”��?!拔艺J(rèn)為現(xiàn)在下結(jié)論并不為時(shí)過早:這將是歷史上規(guī)模最大的IT故障���?���!彼缃幻襟w平臺(tái)X(原推特)上寫道��,“這基本上就是我們所有人對(duì)Y2K問題的擔(dān)憂,只不過這次真的發(fā)生了�����?��!?/span> Wedbush證券的分析師丹·艾夫斯(Dan Ives)則認(rèn)為�����,這次事件將對(duì)CrowdStrike造成顯著的負(fù)面影響����,同時(shí)可能讓其競爭對(duì)手有機(jī)會(huì)在市場(chǎng)上獲取更多的份額�����?����!斑@顯然是對(duì)CrowdStrike的重大打擊����,它必須在未來幾周和幾個(gè)月里采取有效措施�����,以恢復(fù)客戶和市場(chǎng)的信任�����?����!?/span> 業(yè)內(nèi)網(wǎng)絡(luò)安全人士分析稱����,此次藍(lán)屏故障大概率是因?yàn)闅⒍拒浖?nèi)的錯(cuò)誤程序造成了Windows系統(tǒng)的程序錯(cuò)誤�,從而觸發(fā)了Windows系統(tǒng)的自我保護(hù)機(jī)制�。 倫敦大學(xué)學(xué)院計(jì)算機(jī)科學(xué)系助理教授瑪麗·瓦塞克(Marie Vasek)表示,“大范圍的計(jì)算機(jī)崩潰表明�����,全球技術(shù)系統(tǒng)對(duì)少數(shù)公司的軟件有多么依賴���,包括微軟和CrowdStrike的軟件����。這里的問題是,微軟是每個(gè)人都使用的標(biāo)準(zhǔn)軟件���,CrowdStrike中的漏洞被部署到每個(gè)系統(tǒng)中�����?���!?/span> 埃隆·馬斯克(Elon Musk)在社交平臺(tái)上表示���,將直接在特斯拉所有系統(tǒng)中全部刪掉CrowdStrike的軟件��,并且附上了一張“火燒CrowdStrike機(jī)房”的AI生成圖片����。他隨后補(bǔ)充道�����,“不幸的是,我們的許多供應(yīng)商和物流公司都在使用它��?��!?/span> 澳大利亞內(nèi)政部長克萊爾·奧尼爾(Clare O'Neil)發(fā)布聲明稱��,“該公司已經(jīng)通知我們��,大多數(shù)問題應(yīng)該通過他們提供的修復(fù)程序來解決��,但是考慮到這次事件的規(guī)模和性質(zhì)���,可能需要一些時(shí)間來解決。各級(jí)政府密切參與���,重點(diǎn)是匯集受影響的各方�����,并確保政府盡快制定解決辦法。如有需要�����,我們會(huì)發(fā)出進(jìn)一步的更新?�!?/span> (3)干擾信息分析 事件發(fā)生后有網(wǎng)絡(luò)用戶發(fā)布帖子和視頻聲稱自己為事發(fā)當(dāng)日剛?cè)肼毜腃rowdStrike員工���,且為此事件的幕后主使�,他還聲稱自己因?yàn)楸敬问录婚_除��。該帖子在幾小時(shí)內(nèi)已有超過千萬次查看量���,可見本次“藍(lán)屏”事件的影響之廣泛�����。但有人關(guān)聯(lián)該用戶的信息顯示�,其真實(shí)性很低���,其CrowdStrike員工身份也大概率是偽造的��,其有可能是一個(gè)洋蔥新聞式的搞笑博主�。  圖0-1 聲稱CrowdStrike員工的帖子及回復(fù)
例如有用戶根據(jù)其歷史個(gè)人簡介發(fā)現(xiàn)此人很可能故意制造“假新聞”(Fake News)���。  圖0-2 此人偽裝CrowdStrike員工的證偽線索
參與本報(bào)告編寫的機(jī)構(gòu)介紹 | 部門簡介 | 
安天云安全中心 | 負(fù)責(zé)主機(jī)安全��、容器安全�����、微隔離等睿甲家族云安全產(chǎn)品的產(chǎn)品研發(fā)和產(chǎn)品行銷支撐工作����,同時(shí)也負(fù)責(zé)云場(chǎng)景下的安全研究和安全規(guī)則/模型生產(chǎn)��。部門圖騰為天鵝�����,天鵝是飛行高度可達(dá)9千米,能飛越世界最高山峰——珠穆朗瑪峰���,寓意志存高遠(yuǎn)�����,不斷挑戰(zhàn)自我,勇攀高峰��。 | 
安天應(yīng)急響應(yīng)中心 | 負(fù)責(zé)對(duì)APT攻擊�����、定向勒索攻擊、黑灰產(chǎn)犯罪等威脅事件和行為體持續(xù)捕獲���、跟蹤��、分析,推動(dòng)威脅分析成果轉(zhuǎn)化為安天引擎和產(chǎn)服的檢測(cè)防御能力��,將對(duì)威脅事件與趨勢(shì)的判斷�����,轉(zhuǎn)化為政府與公眾了解威脅活動(dòng)的知識(shí)成果�����。支撐安天安全服務(wù)和其他場(chǎng)景的深度安全分析需求��。部門圖騰是東北豹,別名遠(yuǎn)東豹��,又有“金錢豹”之稱,是北方寒帶地區(qū)的大型貓科動(dòng)物���,東北豹的視����、聽、嗅等感官發(fā)達(dá)�����,動(dòng)作敏捷��,狩獵速度極快�����。以上特點(diǎn)恰好可以代表CERT團(tuán)隊(duì)敏捷的應(yīng)急響應(yīng)能力與彪悍的團(tuán)隊(duì)作風(fēng)�����,以及“萬馬軍中取上將首級(jí)”的作戰(zhàn)能力。 |
安天攻防實(shí)驗(yàn)室 | 隸屬于安天安全服務(wù)中心,支撐紅藍(lán)對(duì)抗和漏洞庫支持工作��,通過能力運(yùn)營和安全研究支撐相關(guān)產(chǎn)線產(chǎn)品安全能力提升。負(fù)責(zé)公司已有產(chǎn)品安全能力相關(guān)規(guī)則和測(cè)試樣例匯聚���、復(fù)用,形成良性閉環(huán)����,負(fù)責(zé)攻防研究提升攻防能力和漏洞挖掘支撐能力。目前部門復(fù)用安天服務(wù)中心部門圖騰啄木鳥����,啄木鳥被稱為“森林醫(yī)生”,很貼切安全服務(wù)中心的工作���,為客戶解決網(wǎng)絡(luò)害蟲���。 |
|
