絕了，外媒剛剛發(fā)現(xiàn)：這次造成微軟藍(lán)屏災(zāi)難的CrowdStrike CEO，在Windows XP時代就曾搞崩過全球的設(shè)備。同樣是一次更新，同樣讓設(shè)備斷網(wǎng)，同樣要人工修復(fù)。兩次導(dǎo)致全球IT災(zāi)難，此君可以「名垂青史」了。

微軟全球藍(lán)屏事件，破案了！

一個由「C-00000291*.sys」配置文件觸發(fā)的系統(tǒng)邏輯錯誤，瞬間就破壞掉全世界約10億臺計算機，并在隨后引發(fā)所有的二階、三階效應(yīng)。

就如AI大神Karpathy所言，技術(shù)領(lǐng)域還存在著的單點瞬時故障，都將對人類社會造成巨大隱患。

而這次造成全球TI災(zāi)難的始作俑者、CrowdStrike CEO，竟被外媒扒出已有前科——

2010年在McAfee用一個更新搞崩全球設(shè)備的，竟然也是他！

一、邏輯錯誤，觸發(fā)全球大崩潰

故障發(fā)生的第一時間，就有網(wǎng)友向大家發(fā)出警告——

停止所有CrowdStrike更新！停止所有CrowdStrike更新！

對于事件起因，Objective-See基金會創(chuàng)始人Patrick Wardle也在第一時間就做了一番詳細(xì)調(diào)查。

首先，他查看了故障位置——mov r9d，[r8]。其中R8屬于未映射的地址。

這個位置取自指針數(shù)組（保存在RAX中），索引RDX（0x14 * 0x8）保存了一個無效的內(nèi)存地址。

其他的「驅(qū)動程序」（例如「C-00000291-…32.sys」）似乎是混淆的數(shù)據(jù)，并且被「CSAgent.sys」進(jìn)行了x-ref’d操作。

因此，或許是這種無效（配置/簽名）的數(shù)據(jù)，觸發(fā)了CSAgent.sys中的故障。

通過調(diào)試，可以更容易地判斷這一點。

顯然，事故中最重要的懸而未決的問題就是，這個「C-00000291-…xxx.sys」文件究竟是什么？

CSAgent.sys一旦引用它們，就立馬崩潰了；而只要刪除它們，就可以修復(fù)崩潰。

在VT上，他還對CSAgent.sys以及來自單個故障轉(zhuǎn)儲的數(shù)據(jù)進(jìn)行了逆向分析。

最后，Wardle分享出了CSAgent.sys的幾個版本（+idb），以及各種「C-….sys」文件（包括他認(rèn)為已經(jīng)包含了「修復(fù)」的最新文件）。

他表示，由于自己沒有任何Windows系統(tǒng)或虛擬機，所以希望網(wǎng)友們能繼續(xù)挖掘。

就在昨天，惡意軟件專家Malware Utkonos有了更多細(xì)節(jié)的發(fā)現(xiàn)——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處，似乎有一個針對0xaaaaaaaa的文件魔法檢查。

這個模式，也是「通道文件」（Channel Files）的前四個字節(jié)。全部為NULL的文件，就可能會導(dǎo)致該cmp失敗。

可以看到，rcx中與0xaaaaaaaa進(jìn)行比較的值，由ExAllocatePoolWithTagPriority分配在頂部；那里正是接收ZwReadFile讀取的數(shù)據(jù)的緩沖區(qū)。

這個值會在之后用cmp傳遞給函數(shù)（Utkonos在圖中將這些函數(shù)命名為內(nèi)部的wdm.h函數(shù)調(diào)用）。

通過合理性檢查可發(fā)現(xiàn)：0xaaaaaaaa字節(jié)模式僅在此處檢查的「通道文件」偏移0處出現(xiàn)過一次。

以下就是執(zhí)行類似cmp的地址。

可以看到，只有0xaaaaaaaa看起來不同。

二、CrowdStrike官方解釋

很快，CrowdStrike在官博放出的解釋，對于網(wǎng)友們疑惑的問題進(jìn)行了澄清——

2024年7月19日04:09 UTC，CrowdStrike在持續(xù)運營中向Windows系統(tǒng)發(fā)布了一次傳感器配置更新，這也是Falcon平臺保護(hù)機制的一部分。
這次配置更新觸發(fā)了一個邏輯錯誤，導(dǎo)致受影響的系統(tǒng)出現(xiàn)崩潰和藍(lán)屏（BSOD）。
導(dǎo)致系統(tǒng)崩潰的更新已于2024年7月19日05:27 UTC得到修復(fù)。

報告地址：

We will https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

其中技術(shù)細(xì)節(jié)如下——

在Windows系統(tǒng)中，通道文件位于以下目錄：C:WindowsSystem32driversCrowdStrike，并且文件名以「C-」開頭。每個通道文件都有一個唯一編號作為標(biāo)識。

此次事件中受影響的通道文件為291，文件名以「C-00000291-」開頭，以.sys擴展名結(jié)尾。雖然通道文件以SYS擴展名結(jié)尾，但它們不是內(nèi)核驅(qū)動程序。

通道文件291會影響Falcon如何評估Windows系統(tǒng)上的命名管道執(zhí)行。這些命名管道用于Windows中正常進(jìn)程間或系統(tǒng)間通信的機制。

周五的更新，本意是針對網(wǎng)絡(luò)攻擊中常見的C2框架中所使用的新發(fā)現(xiàn)的惡意命名管道，但實際上卻觸發(fā)了系統(tǒng)的邏輯錯誤，導(dǎo)致崩潰。

不過，這與通道文件291或任何其他通道文件中的空字節(jié)問題無關(guān)。

此事已被網(wǎng)友用Suno做成歌曲要想恢復(fù)，就必須在安全模式下啟動機器，并且以本地管理員身份登錄并刪除內(nèi)容——這是不可能自動化的。

因此，這次癱瘓的打擊面才會這么大，并且難以恢復(fù)。

三、上次也是他

雖然CrowdStrike承認(rèn)了自己的錯誤，并在周五發(fā)布了道歉聲明和解決方案。

但他們尚未解釋清楚，這個破壞性的更新是如何在未經(jīng)過測試和其他安全措施的情況下發(fā)布的。

自然，眾多批評的聲音開始集中到事件的核心人物：CrowdStrike的首席執(zhí)行官George Kurtz。

科技行業(yè)分析師Anshel Sag指出，這已經(jīng)不是庫爾茨第一次在重大IT事件中扮演重要角色了。

熟悉的配方，熟悉的味道

2010年4月21日，殺毒軟件McAfee發(fā)布了一次面向企業(yè)客戶的軟件更新。

獲得更新后的軟件會刪除一個Windows系統(tǒng)的關(guān)鍵文件，導(dǎo)致全球數(shù)百萬臺電腦崩潰并反復(fù)重啟。

和CrowdStrike的錯誤類似，McAfee的問題也需要手動修復(fù)（設(shè)備斷網(wǎng)離線）。

而Kurtz，正是當(dāng)時McAfee的首席技術(shù)官。

2012年，Kurtz創(chuàng)立了CrowdStrike，并一直擔(dān)任首席執(zhí)行官至今。

2010年，發(fā)生了什么？

2010年4月21日早上6點，McAfee向企業(yè)客戶發(fā)布了一個「有問題」的病毒定義更新。

然后，這些自動更新的Windows XP電腦，會直接陷入「無限重啟」的循環(huán)中，直到技術(shù)支持人員到場手動修復(fù)。

背后的原因其實很簡單——殺毒軟件在收到新的定義之后，會將一個常規(guī)的Windows二進(jìn)制文件

「svchost.exe」識別為病毒「W32/Wecorl.a」，并予以銷毀。

一位大學(xué)IT人員報告稱，他的網(wǎng)絡(luò)上有1200臺電腦因此癱瘓。

另一封來自美國企業(yè)的電子郵件稱，他們有「數(shù)百名用戶」受到了影響：

這個問題影響了大量用戶，而簡單地替換svchost.exe并不能解決問題。你必須啟動到安全模式，然后安裝extra.dat文件，再手動運行vsca 控制臺。之后，你還需要刪除隔離的文件。每個用戶至少有兩個文件被隔離，有些用戶多達(dá)15個。不幸的是，使用這種方法，你無法確定你恢復(fù)的文件中哪些是重要的系統(tǒng)文件，哪些是病毒文件。

此外，還有一份來自澳大利亞的報告稱，該國最大的超市連鎖店有10%的收銀機癱瘓，導(dǎo)致14到18家商店被迫關(guān)閉。

這件事在當(dāng)時的影響之大，讓眾人紛紛驚嘆：「即便是專注于開發(fā)病毒的黑客，估計都做不出能像McAfee今天這樣能迅速『端掉』這么多機器的惡意軟件?！?/p>

以下是SANS Internet Storm Center對這次事件的描述：

McAfee版本為5958的「DAT」文件，正在導(dǎo)致大量Windows XP SP3出現(xiàn)問題。受影響的系統(tǒng)將進(jìn)入重啟循環(huán)并失去所有網(wǎng)絡(luò)連接。這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。
使用「ePolicyOrchestrator」來更新病毒定義文件，似乎加速了這個有問題的DAT文件的傳播。ePolicyOrchestrator通常用于在企業(yè)中更新「DAT」文件，但由于受影響的系統(tǒng)會失去網(wǎng)絡(luò)連接，它無法撤銷這個有問題的簽名。

Svchost.exe是Windows系統(tǒng)中最重要的文件之一，它承載了幾乎所有系統(tǒng)功能的服務(wù)。如果沒有Svchost.exe，Windows根本無法啟動。

兩起事件雖然相隔14年，但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出并進(jìn)入生產(chǎn)服務(wù)器的。理論上，這類問題應(yīng)該在測試初期就被發(fā)現(xiàn)并解決了才對。

何許人也？

George Kurtz在新澤西州的Parsippany-Troy Hills長大，就讀于Parsippany高中。Kurtz表示，自己在四年級時就開始在Commodore電腦上編寫電子游戲程序。

高中時，建立了早期的網(wǎng)絡(luò)交流平臺——公告板系統(tǒng)。

他畢業(yè)于西東大學(xué)，獲得會計學(xué)學(xué)位。

隨后他創(chuàng)辦了Foundstone，并曾擔(dān)任McAfee的首席技術(shù)官。

目前，George Kurtz在與Dmitri Alperovitch共同創(chuàng)立的網(wǎng)絡(luò)安全公司CrowdStrike，擔(dān)任首席執(zhí)行官。

除了商業(yè)成就外，他還是一名賽車手。

Price Waterhouse（普華永道）和 Foundstone

大學(xué)畢業(yè)后，Kurtz在Price Waterhouse開始了他的職業(yè)生涯，擔(dān)任注冊會計師（CPA）。

1993年，Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。

1999年，他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》，這是一本針對網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)安全書籍。該書銷量超過60萬冊，并被翻譯成30多種語言。

同年晚些時候，他創(chuàng)辦了一家網(wǎng)絡(luò)安全公司Foundstone，這是最早專門從事安全咨詢的公司之一。Foundstone專注于漏洞管理軟件和服務(wù)，并發(fā)展出了一個廣受認(rèn)可的事件響應(yīng)業(yè)務(wù)，許多財富100強公司都是其客戶。

McAfee

McAfee在2004年8月以8600萬美元收購了Foundstone，Kurtz因此成為McAfee的高級副總裁兼風(fēng)險管理總經(jīng)理。在任期內(nèi)，他幫助制定了公司的安全風(fēng)險管理策略。

2009年10月，McAfee任命他為全球首席技術(shù)官和執(zhí)行副總裁。

隨著時間的推移，Kurtz對現(xiàn)有的安全技術(shù)運行緩慢感到沮喪，因為他認(rèn)為這些技術(shù)沒有跟上新威脅的發(fā)展速度。

有一次，他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢，這一事件成為他創(chuàng)立CrowdStrike的靈感之一。

CrowdStrike

2011年11月，Kurtz加入私募股權(quán)公司W(wǎng)arburg Pincus，擔(dān)任「駐企企業(yè)家」（entrepreneur-in-residence），并開始著手他的下一個項目CrowdStrike。

2012年2月，他與前Foundstone的首席財務(wù)官Gregg Marston和Dmitri Alperovitch聯(lián)手，正式成立了CrowdStrike。

CrowdStrike將重點從反惡意軟件和防病毒產(chǎn)品（McAfee的網(wǎng)絡(luò)安全方法）轉(zhuǎn)移到識別黑客使用的技術(shù)，以便發(fā)現(xiàn)即將到來的威脅。并開發(fā)了一種「云優(yōu)先」（cloud-first）模式，以減少客戶計算機上的軟件負(fù)擔(dān)。

2017年5月，CrowdStrike估值超過10億美元。2019年，公司在納斯達(dá)克首次公開募股6.12億美元，估值達(dá)到66億美元。

2020年7月，IDC報告將CrowdStrike評為增長最快的端點安全軟件供應(yīng)商。

2024年，Kurtz仍然是CrowdStrike的總裁兼首席執(zhí)行官。

果然，世界就是個巨大的草臺班子。

參考資料：

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/