吳明宜CrowdStrike 上周表示,一周前造成全球 850 萬台 Windows 電腦當機事件,是起於它驗證更新用的軟體出了一隻 bug 。
CrowdStrike 的 Falcon 系統上周在 7 月 19 日發生更新問題,觸發 Windows 電腦藍色死亡螢幕 (BSOD),癱瘓全球主要機場、港口運作。隨後在微軟釋出解決方法,協助企業用戶將造成 Windows 當機的檔案移除後,恢復正常運作。 CrowdStrike 也公佈其事件初步調查報告。
CrowdStrike 是以名為 IPC Template Type 的配置內容,讓端點的 Falcon Sensor 偵測裝置上的可疑行為。 IPC Template Type 是透過名為「快速回應內容」發佈。這些內容類似病毒定義檔,可指引 CrowdStrike Falcon Sensor 尋找到新威脅,只需變更其配置內容,而不必更新整個檔案。
本次事件中,CrowdStrike 試圖發佈新的 IPC Template Type 以偵測某個常見的 C&C framework 的 Named Pipes(命名管線)。 CrowdStrike 沒說它當時鎖定的 C&C 框架是什麼,但有安全專家推測是 Cobalt Strike 的 named pipes 。一般情況下,IPC Templated Type 和實作新配置的 Template Instances,都會以自動壓力測試來測試。這個過程中,有個 Content Validator 的元件負責驗證這些內容。它先前在 3/8 、 4/5 、 4/24 測試的 Instances 都沒問題。
7/19 日,Content Validator 又驗證了 2 個 Instances 。其中 1 個有問題,但不幸的,這個軟體元件有個 bug,致使它未能發現問題。另外,由於之前幾次驗證正常,導致 Crowdstrike 未再啟動多一道測試例如動態測試,使有問題的 Instance 最終通過了驗證並部署到了生產環境,發佈給了用戶端,以及之後的大災難。
微軟上周基於發生 BSOD 的電腦產生的系統當機報告,估計有 850 萬台 Windows PC 受 CrowdStrike 軟體錯誤影響。不過本周微軟說,這數字只是實際受影響的 PC 總數的一小部份,因為用戶要同意上傳當機報告,微軟系統才會收到紀錄。也就是說,CrowdStrike 的一個小 bug 引發全球上千萬台 Windows PC 當機,以及難以計算的經濟活動損失。