絕了，外媒剛剛發(fā)現(xiàn)：這次造成微軟藍(lán)屏災(zāi)難的CrowdStrike CEO，在Windows XP時(shí)代就曾搞崩過(guò)全球的設(shè)備。同樣是一次更新，同樣讓設(shè)備斷網(wǎng)，同樣要人工修復(fù)。兩次導(dǎo)致全球IT災(zāi)難，此君可以「名垂青史」了。

微軟全球藍(lán)屏事件，破案了！

一個(gè)由「C-00000291*.sys」配置文件觸發(fā)的系統(tǒng)邏輯錯(cuò)誤，瞬間就破壞掉全世界約10億臺(tái)計(jì)算機(jī)，并在隨后引發(fā)所有的二階、三階效應(yīng)。

就如AI大神Karpathy所言，技術(shù)領(lǐng)域還存在著的單點(diǎn)瞬時(shí)故障，都將對(duì)人類(lèi)社會(huì)造成巨大隱患。

而這次造成全球TI災(zāi)難的始作俑者、CrowdStrike CEO，竟被外媒扒出已有前科——

2010年在McAfee用一個(gè)更新搞崩全球設(shè)備的，竟然也是他！

一、邏輯錯(cuò)誤，觸發(fā)全球大崩潰

故障發(fā)生的第一時(shí)間，就有網(wǎng)友向大家發(fā)出警告——

停止所有CrowdStrike更新！停止所有CrowdStrike更新！

對(duì)于事件起因，Objective-See基金會(huì)創(chuàng)始人Patrick Wardle也在第一時(shí)間就做了一番詳細(xì)調(diào)查。

首先，他查看了故障位置——mov r9d，[r8]。其中R8屬于未映射的地址。

這個(gè)位置取自指針數(shù)組（保存在RAX中），索引RDX（0x14 * 0x8）保存了一個(gè)無(wú)效的內(nèi)存地址。

其他的「驅(qū)動(dòng)程序」（例如「C-00000291-…32.sys」）似乎是混淆的數(shù)據(jù)，并且被「CSAgent.sys」進(jìn)行了x-ref’d操作。

因此，或許是這種無(wú)效（配置/簽名）的數(shù)據(jù)，觸發(fā)了CSAgent.sys中的故障。

通過(guò)調(diào)試，可以更容易地判斷這一點(diǎn)。

顯然，事故中最重要的懸而未決的問(wèn)題就是，這個(gè)「C-00000291-…xxx.sys」文件究竟是什么？

CSAgent.sys一旦引用它們，就立馬崩潰了；而只要?jiǎng)h除它們，就可以修復(fù)崩潰。

在VT上，他還對(duì)CSAgent.sys以及來(lái)自單個(gè)故障轉(zhuǎn)儲(chǔ)的數(shù)據(jù)進(jìn)行了逆向分析。

最后，Wardle分享出了CSAgent.sys的幾個(gè)版本（+idb），以及各種「C-….sys」文件（包括他認(rèn)為已經(jīng)包含了「修復(fù)」的最新文件）。

他表示，由于自己沒(méi)有任何Windows系統(tǒng)或虛擬機(jī)，所以希望網(wǎng)友們能繼續(xù)挖掘。

就在昨天，惡意軟件專(zhuān)家Malware Utkonos有了更多細(xì)節(jié)的發(fā)現(xiàn)——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個(gè)地址處，似乎有一個(gè)針對(duì)0xaaaaaaaa的文件魔法檢查。

這個(gè)模式，也是「通道文件」（Channel Files）的前四個(gè)字節(jié)。全部為NULL的文件，就可能會(huì)導(dǎo)致該cmp失敗。

可以看到，rcx中與0xaaaaaaaa進(jìn)行比較的值，由ExAllocatePoolWithTagPriority分配在頂部；那里正是接收Z(yǔ)wReadFile讀取的數(shù)據(jù)的緩沖區(qū)。

這個(gè)值會(huì)在之后用cmp傳遞給函數(shù)（Utkonos在圖中將這些函數(shù)命名為內(nèi)部的wdm.h函數(shù)調(diào)用）。

通過(guò)合理性檢查可發(fā)現(xiàn)：0xaaaaaaaa字節(jié)模式僅在此處檢查的「通道文件」偏移0處出現(xiàn)過(guò)一次。

以下就是執(zhí)行類(lèi)似cmp的地址。

可以看到，只有0xaaaaaaaa看起來(lái)不同。

二、CrowdStrike官方解釋

很快，CrowdStrike在官博放出的解釋?zhuān)瑢?duì)于網(wǎng)友們疑惑的問(wèn)題進(jìn)行了澄清——

2024年7月19日04:09 UTC，CrowdStrike在持續(xù)運(yùn)營(yíng)中向Windows系統(tǒng)發(fā)布了一次傳感器配置更新，這也是Falcon平臺(tái)保護(hù)機(jī)制的一部分。
這次配置更新觸發(fā)了一個(gè)邏輯錯(cuò)誤，導(dǎo)致受影響的系統(tǒng)出現(xiàn)崩潰和藍(lán)屏（BSOD）。
導(dǎo)致系統(tǒng)崩潰的更新已于2024年7月19日05:27 UTC得到修復(fù)。

報(bào)告地址：

We will https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

其中技術(shù)細(xì)節(jié)如下——

在Windows系統(tǒng)中，通道文件位于以下目錄：C:WindowsSystem32driversCrowdStrike，并且文件名以「C-」開(kāi)頭。每個(gè)通道文件都有一個(gè)唯一編號(hào)作為標(biāo)識(shí)。

此次事件中受影響的通道文件為291，文件名以「C-00000291-」開(kāi)頭，以.sys擴(kuò)展名結(jié)尾。雖然通道文件以SYS擴(kuò)展名結(jié)尾，但它們不是內(nèi)核驅(qū)動(dòng)程序。

通道文件291會(huì)影響Falcon如何評(píng)估Windows系統(tǒng)上的命名管道執(zhí)行。這些命名管道用于Windows中正常進(jìn)程間或系統(tǒng)間通信的機(jī)制。

周五的更新，本意是針對(duì)網(wǎng)絡(luò)攻擊中常見(jiàn)的C2框架中所使用的新發(fā)現(xiàn)的惡意命名管道，但實(shí)際上卻觸發(fā)了系統(tǒng)的邏輯錯(cuò)誤，導(dǎo)致崩潰。

不過(guò)，這與通道文件291或任何其他通道文件中的空字節(jié)問(wèn)題無(wú)關(guān)。

此事已被網(wǎng)友用Suno做成歌曲要想恢復(fù)，就必須在安全模式下啟動(dòng)機(jī)器，并且以本地管理員身份登錄并刪除內(nèi)容——這是不可能自動(dòng)化的。

因此，這次癱瘓的打擊面才會(huì)這么大，并且難以恢復(fù)。

三、上次也是他

雖然CrowdStrike承認(rèn)了自己的錯(cuò)誤，并在周五發(fā)布了道歉聲明和解決方案。

但他們尚未解釋清楚，這個(gè)破壞性的更新是如何在未經(jīng)過(guò)測(cè)試和其他安全措施的情況下發(fā)布的。

自然，眾多批評(píng)的聲音開(kāi)始集中到事件的核心人物：CrowdStrike的首席執(zhí)行官George Kurtz。

科技行業(yè)分析師Anshel Sag指出，這已經(jīng)不是庫(kù)爾茨第一次在重大IT事件中扮演重要角色了。

熟悉的配方，熟悉的味道

2010年4月21日，殺毒軟件McAfee發(fā)布了一次面向企業(yè)客戶(hù)的軟件更新。

獲得更新后的軟件會(huì)刪除一個(gè)Windows系統(tǒng)的關(guān)鍵文件，導(dǎo)致全球數(shù)百萬(wàn)臺(tái)電腦崩潰并反復(fù)重啟。

和CrowdStrike的錯(cuò)誤類(lèi)似，McAfee的問(wèn)題也需要手動(dòng)修復(fù)（設(shè)備斷網(wǎng)離線）。

而Kurtz，正是當(dāng)時(shí)McAfee的首席技術(shù)官。

2012年，Kurtz創(chuàng)立了CrowdStrike，并一直擔(dān)任首席執(zhí)行官至今。

2010年，發(fā)生了什么？

2010年4月21日早上6點(diǎn)，McAfee向企業(yè)客戶(hù)發(fā)布了一個(gè)「有問(wèn)題」的病毒定義更新。

然后，這些自動(dòng)更新的Windows XP電腦，會(huì)直接陷入「無(wú)限重啟」的循環(huán)中，直到技術(shù)支持人員到場(chǎng)手動(dòng)修復(fù)。

背后的原因其實(shí)很簡(jiǎn)單——?dú)⒍拒浖谑盏叫碌亩x之后，會(huì)將一個(gè)常規(guī)的Windows二進(jìn)制文件

「svchost.exe」識(shí)別為病毒「W32/Wecorl.a」，并予以銷(xiāo)毀。

一位大學(xué)IT人員報(bào)告稱(chēng)，他的網(wǎng)絡(luò)上有1200臺(tái)電腦因此癱瘓。

另一封來(lái)自美國(guó)企業(yè)的電子郵件稱(chēng)，他們有「數(shù)百名用戶(hù)」受到了影響：

這個(gè)問(wèn)題影響了大量用戶(hù)，而簡(jiǎn)單地替換svchost.exe并不能解決問(wèn)題。你必須啟動(dòng)到安全模式，然后安裝extra.dat文件，再手動(dòng)運(yùn)行vsca 控制臺(tái)。之后，你還需要?jiǎng)h除隔離的文件。每個(gè)用戶(hù)至少有兩個(gè)文件被隔離，有些用戶(hù)多達(dá)15個(gè)。不幸的是，使用這種方法，你無(wú)法確定你恢復(fù)的文件中哪些是重要的系統(tǒng)文件，哪些是病毒文件。

此外，還有一份來(lái)自澳大利亞的報(bào)告稱(chēng)，該國(guó)最大的超市連鎖店有10%的收銀機(jī)癱瘓，導(dǎo)致14到18家商店被迫關(guān)閉。

這件事在當(dāng)時(shí)的影響之大，讓眾人紛紛驚嘆：「即便是專(zhuān)注于開(kāi)發(fā)病毒的黑客，估計(jì)都做不出能像McAfee今天這樣能迅速『端掉』這么多機(jī)器的惡意軟件?！?/p>

以下是SANS Internet Storm Center對(duì)這次事件的描述：

McAfee版本為5958的「DAT」文件，正在導(dǎo)致大量Windows XP SP3出現(xiàn)問(wèn)題。受影響的系統(tǒng)將進(jìn)入重啟循環(huán)并失去所有網(wǎng)絡(luò)連接。這個(gè)有問(wèn)題的DAT文件可能會(huì)感染單個(gè)工作站以及連接到域的工作站。
使用「ePolicyOrchestrator」來(lái)更新病毒定義文件，似乎加速了這個(gè)有問(wèn)題的DAT文件的傳播。ePolicyOrchestrator通常用于在企業(yè)中更新「DAT」文件，但由于受影響的系統(tǒng)會(huì)失去網(wǎng)絡(luò)連接，它無(wú)法撤銷(xiāo)這個(gè)有問(wèn)題的簽名。

Svchost.exe是Windows系統(tǒng)中最重要的文件之一，它承載了幾乎所有系統(tǒng)功能的服務(wù)。如果沒(méi)有Svchost.exe，Windows根本無(wú)法啟動(dòng)。

兩起事件雖然相隔14年，但卻有著同樣的疑惑——這樣的更新是如何從測(cè)試實(shí)驗(yàn)室流出并進(jìn)入生產(chǎn)服務(wù)器的。理論上，這類(lèi)問(wèn)題應(yīng)該在測(cè)試初期就被發(fā)現(xiàn)并解決了才對(duì)。

何許人也？

George Kurtz在新澤西州的Parsippany-Troy Hills長(zhǎng)大，就讀于Parsippany高中。Kurtz表示，自己在四年級(jí)時(shí)就開(kāi)始在Commodore電腦上編寫(xiě)電子游戲程序。

高中時(shí)，建立了早期的網(wǎng)絡(luò)交流平臺(tái)——公告板系統(tǒng)。

他畢業(yè)于西東大學(xué)，獲得會(huì)計(jì)學(xué)學(xué)位。

隨后他創(chuàng)辦了Foundstone，并曾擔(dān)任McAfee的首席技術(shù)官。

目前，George Kurtz在與Dmitri Alperovitch共同創(chuàng)立的網(wǎng)絡(luò)安全公司CrowdStrike，擔(dān)任首席執(zhí)行官。

除了商業(yè)成就外，他還是一名賽車(chē)手。

Price Waterhouse（普華永道）和 Foundstone

大學(xué)畢業(yè)后，Kurtz在Price Waterhouse開(kāi)始了他的職業(yè)生涯，擔(dān)任注冊(cè)會(huì)計(jì)師（CPA）。

1993年，Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。

1999年，他與Stuart McClure和Joel Scambray共同撰寫(xiě)了《Hacking Exposed》，這是一本針對(duì)網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)安全書(shū)籍。該書(shū)銷(xiāo)量超過(guò)60萬(wàn)冊(cè)，并被翻譯成30多種語(yǔ)言。

同年晚些時(shí)候，他創(chuàng)辦了一家網(wǎng)絡(luò)安全公司Foundstone，這是最早專(zhuān)門(mén)從事安全咨詢(xún)的公司之一。Foundstone專(zhuān)注于漏洞管理軟件和服務(wù)，并發(fā)展出了一個(gè)廣受認(rèn)可的事件響應(yīng)業(yè)務(wù)，許多財(cái)富100強(qiáng)公司都是其客戶(hù)。

McAfee

McAfee在2004年8月以8600萬(wàn)美元收購(gòu)了Foundstone，Kurtz因此成為McAfee的高級(jí)副總裁兼風(fēng)險(xiǎn)管理總經(jīng)理。在任期內(nèi)，他幫助制定了公司的安全風(fēng)險(xiǎn)管理策略。

2009年10月，McAfee任命他為全球首席技術(shù)官和執(zhí)行副總裁。

隨著時(shí)間的推移，Kurtz對(duì)現(xiàn)有的安全技術(shù)運(yùn)行緩慢感到沮喪，因?yàn)樗J(rèn)為這些技術(shù)沒(méi)有跟上新威脅的發(fā)展速度。

有一次，他在飛機(jī)上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢，這一事件成為他創(chuàng)立CrowdStrike的靈感之一。

CrowdStrike

2011年11月，Kurtz加入私募股權(quán)公司W(wǎng)arburg Pincus，擔(dān)任「駐企企業(yè)家」（entrepreneur-in-residence），并開(kāi)始著手他的下一個(gè)項(xiàng)目CrowdStrike。

2012年2月，他與前Foundstone的首席財(cái)務(wù)官Gregg Marston和Dmitri Alperovitch聯(lián)手，正式成立了CrowdStrike。

CrowdStrike將重點(diǎn)從反惡意軟件和防病毒產(chǎn)品（McAfee的網(wǎng)絡(luò)安全方法）轉(zhuǎn)移到識(shí)別黑客使用的技術(shù)，以便發(fā)現(xiàn)即將到來(lái)的威脅。并開(kāi)發(fā)了一種「云優(yōu)先」（cloud-first）模式，以減少客戶(hù)計(jì)算機(jī)上的軟件負(fù)擔(dān)。

2017年5月，CrowdStrike估值超過(guò)10億美元。2019年，公司在納斯達(dá)克首次公開(kāi)募股6.12億美元，估值達(dá)到66億美元。

2020年7月，IDC報(bào)告將CrowdStrike評(píng)為增長(zhǎng)最快的端點(diǎn)安全軟件供應(yīng)商。

2024年，Kurtz仍然是CrowdStrike的總裁兼首席執(zhí)行官。

果然，世界就是個(gè)巨大的草臺(tái)班子。

參考資料：

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/