首頁 > 科技要聞 > 科技> 正文

微軟全球藍(lán)屏致391億損失!25萬臺設(shè)備仍未恢復(fù)

量子位 整合編輯:太平洋科技 發(fā)布于:2024-07-30 16:28

波及全球的微軟藍(lán)屏事件,至今還有25萬臺設(shè)備沒完全恢復(fù)

另據(jù)估計(jì),崩潰的設(shè)備多達(dá)850萬臺,到目前為止已經(jīng)恢復(fù)了97%,雖然看似修復(fù)效率很高,但剩下的3%仍有25萬臺之多。

與此同時微軟也發(fā)布了一份全面調(diào)查報告,提供了根本原因的技術(shù)概述,解釋了為什么安全產(chǎn)品使用內(nèi)核模式驅(qū)動程序,以及未來如何增強(qiáng)安全產(chǎn)品的可擴(kuò)展性。

該事件影響范圍幾乎覆蓋全球,涉及了涵蓋航空公司、電視廣播、醫(yī)療機(jī)構(gòu)、銀行金融等眾多行業(yè),甚至連奧運(yùn)會也受到了影響。

僅在航空業(yè),就有5000多架次航班被迫取消,占了全球定期航線的4.6%,美國一家航空公司甚至連續(xù)三天都出現(xiàn)了航班取消的情況。

經(jīng)濟(jì)損失也是數(shù)以十億計(jì),據(jù)數(shù)據(jù)分析機(jī)構(gòu)Parametrix的估計(jì),單是對于財富500強(qiáng)企業(yè),這次事件帶來的損失就高達(dá)54億美元(約合391.8億人民幣)

還有不法分子趁火打劫,冒充Crowdstrike的名義,假借發(fā)布“修復(fù)工具”之名,公然散播惡意軟件。

網(wǎng)絡(luò)安全專家Troy Hunt稱之為“史上最大規(guī)模的IT中斷事件”

抓馬的是,Crowdstrike在此次事件之后,給幫助修復(fù)問題的員工和合作伙伴發(fā)放了10美元的外賣代金券作為感謝,結(jié)果被外賣平臺標(biāo)記為了“欺詐”。

收到優(yōu)惠券的人在準(zhǔn)備使用時發(fā)現(xiàn)券已被取消,導(dǎo)致Crowdstrike本已經(jīng)受到巨大影響的口碑又進(jìn)一步下滑。

微軟的調(diào)查報告,確認(rèn)了Crowdstrike初步報告中提及的驅(qū)動文件正是造成此次事件的罪魁禍?zhǔn)住?/p>

進(jìn)一步分析結(jié)果表明,該文件對內(nèi)存的越界讀取,是導(dǎo)致事故的直接原因。

隨著研究的深入,第三方安全軟件到底該不該被授予了內(nèi)核級的操作權(quán)限,也引發(fā)了廣泛討論。

核心原因:越權(quán)讀取內(nèi)存

通過分析大量的崩潰報告,微軟發(fā)現(xiàn)這些記錄都指向了CrowdStrike的驅(qū)動程序csagent.sys。

通過調(diào)閱故障時系統(tǒng)留下的崩潰轉(zhuǎn)儲,微軟再現(xiàn)了崩潰發(fā)生時的場景——

首先查看崩潰線程的Trap Frame后,發(fā)現(xiàn)引發(fā)異常的指令是一條針對R8寄存器、指向內(nèi)存的讀操作。

進(jìn)一步觀察Trap Frame附近的指令,又發(fā)現(xiàn)在該讀操作之前,有一個對R8的空值檢查,檢查失敗才會繼續(xù)執(zhí)行后續(xù)的讀操作。

但是檢查R8指向的虛擬地址后,微軟發(fā)現(xiàn)它指向了一個非法地址,導(dǎo)致內(nèi)核訪問違規(guī),從而引發(fā)了此次崩潰。

另外,Crowdstrike也解釋了流程層面的原因——在上線前的測試過程中,未能檢測到更新中的“有問題的內(nèi)容數(shù)據(jù)”。

事件發(fā)生后,微軟和Crowdstrike都緊急應(yīng)對,Crowdstrike發(fā)動了全部技術(shù)人員,微軟也派出了5000多名技術(shù)人員7×24小時應(yīng)對此事。

經(jīng)過兩家合作研究,主要得出了兩種該問題的解決方案——

第一種簡單粗暴,就是重啟,以便在錯誤的文件啟動之前獲取更新并將其覆蓋。

修復(fù)方案還提到,如果重啟一次不管用就多試幾次,按微軟的說法,最多可能要15次。

如果無法通過重啟獲取更新,微軟還提供了通過網(wǎng)絡(luò)或USB設(shè)備的啟動工具,以便能夠刪除問題文件。

針對后續(xù)工作,兩家也分別做出表態(tài):

微軟表示,將計(jì)劃與反惡意軟件生態(tài)系統(tǒng)合作,減少對內(nèi)核驅(qū)動的依賴;

Crowdstrike則承諾,正在對其測試和部署流程進(jìn)行更改,以防止類似情況再次發(fā)生。

該不該開放內(nèi)核級操作?

引起此次崩潰的csagent.sys,正是一個內(nèi)核級的驅(qū)動程序。

具體來說,csagent.sys被注冊為一個文件系統(tǒng)篩選驅(qū)動,用于接收文件操作事件。

所以在這次事件之后,到底應(yīng)不應(yīng)該把系統(tǒng)的內(nèi)核級操作權(quán)限開放給第三方,也引發(fā)了廣泛討論。

在微軟的報告中,也解釋了一些使用內(nèi)核驅(qū)動程序進(jìn)行安全防御的原因:

可見性和執(zhí)行力:內(nèi)核驅(qū)動可以全系統(tǒng)范圍內(nèi)可見,并能夠在啟動早期加載,以檢測 bootkit和rootkit;

性能:某些高吞吐量的數(shù)據(jù)采集和分析場景,使用內(nèi)核驅(qū)動可以帶來性能優(yōu)勢;

防篡改:即便管理員權(quán)限也難以禁用處于內(nèi)核模式的驅(qū)動,因?yàn)閃indows提供了早期加載(ELAM)等機(jī)制,讓驅(qū)動能盡早運(yùn)行。

但同時微軟也指出,驅(qū)動運(yùn)行在最高權(quán)限,一旦出問題難以隔離和恢復(fù),因此驅(qū)動代碼必須經(jīng)過嚴(yán)格測試。

不過在HackerNews上,網(wǎng)友們并不認(rèn)同內(nèi)核級別的運(yùn)行方式,并指出蘋果和Linux早就禁用內(nèi)核級操作,改為用戶級操作了。

按這位網(wǎng)友的說法,雖然直接原因是由Crowdstrike導(dǎo)致,但微軟不禁用內(nèi)核操作給了問題程序運(yùn)行的土壤,所以也難辭其咎。

其實(shí)微軟也不是沒試過禁用,甚至這次事件中的Crowdstrike,還是微軟的競爭對手。

但是其他網(wǎng)友指出,這是為了符合歐盟的監(jiān)管要求,因?yàn)槲④涀约旱陌踩浖袃?nèi)核級操作,所以公平起見,也得開放給第三方。

但這句話只說對了一半,歐盟并未要求微軟將內(nèi)核操作開放給第三方,他們還可以選擇把自己的安全產(chǎn)品也移出內(nèi)核。

當(dāng)然,如果只從技術(shù)角度分析,網(wǎng)友們的觀點(diǎn)還是比較一致的,都認(rèn)為內(nèi)核級操作還是開放的越少越好。

微軟的報告中也提到,今后會聯(lián)合安全軟件生態(tài),盡可能減少內(nèi)核操作對重要安全數(shù)據(jù)的訪問需要

One More Thing

最后再說說直接造成此次事件的Crowdstrike。

實(shí)際上,這已經(jīng)不是這家公司的Falcon程序第一次把操作系統(tǒng)搞崩了。

從今年四月開始到現(xiàn)在這四個月,F(xiàn)alcon每個月都會把操作系統(tǒng)搞崩一次。

前三次的受害者都是Linux內(nèi)核的操作系統(tǒng),不過影響范圍和受關(guān)注程度都和這次事件無法相提并論:

4月19日晚,Crowdstrike發(fā)布了一個有缺陷的軟件更新,導(dǎo)致運(yùn)行Debian 的計(jì)算機(jī)崩潰且無法正常重啟;

5月13日,安裝CrowdStrike軟件的服務(wù)器在升級到Rocky Linux 9.4后可能會凍結(jié)(freeze);

6月,Red Hat在啟動了Crowdstrike的falcon-sensor進(jìn)程后,也觀察到了內(nèi)核恐慌(Kernel Panic)。

本文來源:量子位

網(wǎng)友評論

聚超值•精選

推薦 手機(jī) 筆記本 影像 硬件 家居 商用 企業(yè) 出行 未來
二維碼 回到頂部