今日应用
今日话题
54亿美金蒸发,83岁老人失踪!蓝屏元凶30天崩一个系统,微软急发事故报告
重点标签 IT故障、CrowdStrike、微软分析、系统崩溃、安全措施
文章摘要
步骤2:文章摘要
7月19日,全球发生了历史上规模最大的IT故障事件,导致财富500强企业损失高达54亿美元,甚至有一位83岁老人因航班取消而失踪。达美航空作为受影响最严重的航空公司,在7月25日完成了系统修复并恢复正常运营,期间取消了超过2500个航班。美国奥兰多警察局在7月27日发布寻人启事,寻找因CrowdStrike宕机事件影响而失踪的83岁老人。
微软公司在7月27日对此次由CrowdStrike引起的全球性蓝屏事件进行了官方分析,并发布了一份详尽的报告,名为《Windows安全工具的集成与管理最佳实践》。报告中,微软解释了现代安全产品为何必须使用内核模式驱动程序,并指出Windows系统为第三方解决方案提供了相应的安全措施。CrowdStrike将此次事件的原因归咎于内存安全问题,尤其是其CSagent驱动程序中的越界读取访问违规。
微软使用Microsoft WinDBG内核调试器对与该事件相关的Windows错误报告(WER)内核崩溃转储进行了分析。分析结果显示,存在一个全球性的崩溃模式,其中涉及到的故障模块为csagent.sys。微软的分析确认了CrowdStrike关于内存安全错误的分析是正确的。此外,微软还发现csagent.sys模块被注册为文件系统过滤驱动程序,通常用于接收与文件操作有关的通知,以及作为监控系统行为的安全解决方案的信号。
微软的报告还指出,CrowdStrike的CSagent.sys驱动程序存在越界读取内存安全错误,这与崩溃转储中的观察结果一致。文件系统过滤驱动程序API允许驱动程序在系统上发生命名管道活动时接收调用,从而能够检测恶意行为。CrowdStrike在其博客中提到,他们的内容更新包括更改传感器逻辑,以处理与命名管道创建相关的数据。
微软的分析报告还提到了其他由CrowdStrike提供的驱动程序,如CSFirmwareAnalysis.sys和cspcm4.sys,这些驱动程序在系统崩溃时也在运行。此外,还有一个名为CSBoot.sys的驱动程序,它是一个早期启动的驱动程序,与CrowdStrike Falcon Sensor Boot Driver相关联。
总的来说,这次IT故障事件凸显了现代安全产品在使用内核模式驱动程序时可能面临的风险,同时也展示了微软在处理这类事件时的专业性和透明度。尽管CrowdStrike在此次事件中受到了批评,但微软的分析报告提供了一个深入了解问题的机会,并为未来如何避免类似事件提供了宝贵的指导。
文章来源
原文地址: 点我阅读全文
原文作者: AIGC新智界