热点资讯小程序开发公司 两次全球蓝屏,罪魁竟是归拢东谈主?14年后,“灭霸”CEO再酿IT可怜
绝了,外媒刚刚发现:这次形成微软蓝屏可怜的CrowdStrike CEO,在Windows XP期间就曾搞崩过全球的开发。通常是一次更新,通常让开发断网,通常要东谈主工成立。两次导致全球IT可怜,此君不错「名敬重史」了。
微软全球蓝屏事件,破案了!
一个由「C-00000291*.sys」配置文献触发的系统逻辑诞妄,遽然就纵情掉全宇宙约10亿台想象机,并在随后激发通盘的二阶、三阶效应。
就如AI大神Karpathy所言,技巧领域还存在着的单点瞬时故障,皆将对东谈主类社会形成广阔隐患。
而这次形周全球TI可怜的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——
2010年在McAfee用一个更新搞崩全球开发的,竟然小程序开发公司亦然他!
逻辑诞妄,触发全球大崩溃
故障发生的第一时候,就有网友向群众发出警告——罢手通盘CrowdStrike更新!罢手通盘CrowdStrike更新!
关于事件缘起,Objective-See基金会独创东谈主Patrick Wardle也在第一时候就作念了一番驻防探望。
这个位置取自指针数组(保存在RAX中),索引RDX(0x14 * 0x8)保存了一个无效的内存地址。
其他的「驱动材干」(举例「C-00000291-...32.sys」)似乎是浑浊的数据,况且被「CSAgent.sys」进行了x-ref'd操作。
因此,大要是这种无效(配置/签名)的数据,触发了CSAgent.sys中的故障。
通过调试,不错更容易地判断这少量。
光显,事故中最紧要的悬而未决的问题就是,这个「C-00000291-...xxx.sys」文献究竟是什么?
CSAgent.sys一朝援用它们,就立马崩溃了;而只消删除它们,就不错成立崩溃。
在VT上,他还对CSAgent.sys以及来自单个故障转储的数据进行了逆向分析。
临了,Wardle共享出了CSAgent.sys的几个版块(+idb),以及各式「C-....sys」文献(包括他以为如故包含了「成立」的最新文献)。
他暗示,由于我方莫得任何Windows系统或杜撰机,是以但愿网友们能不绝挖掘。
就在昨天,坏心软件大师Malware Utkonos有了更多细节的发现——
一、直选215分析:排列三最近3期分别开出直选号码:663历史出现次数为6次、535历史出现次数为11次、215历史出现次数为8次,本期注意历史上已开出8次左右的直选号码。
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66这个地址处,似乎有一个针对0xaaaaaaaa的文献魔法查抄。
这个花样,亦然「通谈文献」(Channel Files)的前四个字节。沿路为NULL的文献,就可能会导致该cmp失败。
不错看到,rcx中与0xaaaaaaaa进行相比的值,由ExAllocatePoolWithTagPriority分派在顶部。那儿恰是接纳ZwReadFile读取的数据的缓冲区。
这个值会在之后用cmp传递给函数(Utkonos在图中将这些函数定名为里面的wdm.h函数调用)。
通过合感性查抄可发现:0xaaaaaaaa字节花样仅在此处查抄的「通谈文献」偏移0处出现过一次。
以下就是扩充近似cmp的地址。
不错看到,唯独0xaaaaaaaa看起来不同。
CrowdStrike官方讲授
很快,CrowdStrike在官博放出的讲授,关于网友们狐疑的问题进行了见地——
2024年7月19日04:09 UTC,CrowdStrike在抓续运营中向Windows系统发布了一次传感器配置更新,这亦然Falcon平台保护机制的一部分。
这次配置更新触发了一个逻辑诞妄,导致受影响的系统出现崩溃和蓝屏(BSOD)。
导致系统崩溃的更新已于2024年7月19日05:27 UTC得到成立。
其中技巧细节如下——
在Windows系统中,通谈文献位于以下目次:C:\Windows\System32\drivers\CrowdStrike\,况且文献名以「C-」着手。每个通谈文献皆有一个惟一编号算作象征。
这次事件中受影响的通谈文献为291,文献名以「C-00000291-」着手,以.sys彭胀名结果。天然通谈文献以SYS彭胀名结果,但它们不是内核驱动材干.
通谈文献291会影响Falcon如何评估Windows系统上的定名管谈扩充。这些定名管谈用于Windows中闲居程度间或系统间通讯的机制。
周五的更新,本意是针对网罗抨击中常见的C2框架中所使用的新发现的坏心定名管谈,但骨子上却触发了系统的逻辑诞妄,导致崩溃。
不外,这与通谈文献291或任何其他通谈文献中的空字节问题无关。
此事已被网友用Suno作念成歌曲
要思收复,就必须在安全花样下启动机器,况且以腹地管制员身份登录并删除内容——这是不可能自动化的。
因此,这次瘫痪的打击面才会这样大,况且难以收复。
前次亦然他
天然CrowdStrike承认了我方的诞妄,并在周五发布了谈歉声明和搞定决策。
但他们尚未讲授明晰,这个纵情性的更新是如安在未历程测试和其他安全步调的情况下发布的。
天然,宽广品评的声息驱动齐集到事件的中枢东谈主物:CrowdStrike的首席扩充官George Kurtz。
科技行业分析师Anshel Sag指出,这如故不是库尔茨第一次在紧要IT事件中演出紧要脚色了。
熟识的配方,熟识的滋味
2010年4月21日,杀毒软件McAfee发布了一次面向企业客户的软件更新。
获取更新后的软件会删除一个Windows系统的要道文献,导致全球数百万台电脑崩溃并反复重启。
和CrowdStrike的诞妄近似,McAfee的问题也需要手动成立(开发断网离线)。
而Kurtz,恰是那时McAfee的首席技巧官。
2012年,Kurtz创立了CrowdStrike,并一直担任首席扩充官于今。
2010年,发生了什么?
2010年4月21日早上6点,小程序开发McAfee向企业客户发布了一个「有问题」的病毒界说更新。
然后,这些自动更新的Windows XP电脑,会径直堕入「无穷重启」的轮回中,直到技巧撑抓东谈主员到场手动成立。
背后的原因其实很浅近——杀毒软件在收到新的界说之后,会将一个旧例的Windows二进制文献「svchost.exe」识别为病毒「W32/Wecorl.a」,并赐与葬送。
一位大学IT东谈主员报告称,他的网罗上有1200台电脑因此瘫痪。
另一封来自好意思国企业的电子邮件称,他们有「数百名用户」受到了影响:
这个问题影响了无数用户,而浅近地替换svchost.exe并弗成搞定问题。你必须启动到安全花样,然后装置extra.dat文献,再手动运行vsca 收敛台。之后,你还需要删除结巴的文献。每个用户至少有两个文献被结巴,有些用户多达15个。不幸的是,使用这种方法,你无法详情你收复的文献中哪些是紧要的系统文献,哪些是病毒文献。
此外,还有一份来自澳大利亚的报告称,该国最大的超市连锁店有10%的收银机瘫痪,导致14到18家商店被动关闭。
这件事在那时的影响之大,让世东谈主纷纷艳羡:「即即是专注于开发病毒的黑客,臆测皆作念不出能像McAfee今天这样能飞快『端掉』这样多机器的坏心软件。」
以下是SANS Internet Storm Center对这次事件的描写:
McAfee版块为5958的「DAT」文献,正在导致无数Windows XP SP3出现问题。受影响的系统将干涉重启轮回并失去通盘网罗贯穿。这个有问题的DAT文献可能会感染单个服务站以及贯穿到域的服务站。
使用「ePolicyOrchestrator」来更新病毒界说文献,似乎加快了这个有问题的DAT文献的传播。ePolicyOrchestrator时时用于在企业中更新「DAT」文献,但由于受影响的系统会失去网罗贯穿,它无法烧毁这个有问题的签名。
Svchost.exe是Windows系统中最紧要的文献之一,它承载了简直通盘系统功能的服务。要是莫得Svchost.exe,Windows根柢无法启动。
两起事件天然相隔14年,但却有着通常的狐疑——这样的更新是如何从测试实践室流出并干涉出产服务器的。表面上,这类问题应该在测试初期就被发现并搞定了才对。
何许东谈主也?
George Kurtz在新泽西州的Parsippany-Troy Hills长大,就读于Parsippany高中。
Kurtz暗示,我方在四年岁时就驱动在Commodore电脑上编写电子游戏材干。高中时,建立了早期的网罗洽商平台——公告板系统。
他毕业于西东大学,获取司帐学学位。
随后他创办了Foundstone,并曾担任McAfee的首席技巧官。
当今,George Kurtz在与Dmitri Alperovitch共同创立的网罗安全公司CrowdStrike,担任首席扩充官。
除了交易成就外,他如故又名赛车手。
Price Waterhouse(普华永谈)和 Foundstone
大学毕业后,Kurtz在Price Waterhouse驱动了他的工作糊口,担任注册司帐师(CPA)。
1993年,Price Waterhouse让Kurtz成为其新成立的安全组的首批职工之一。
1999年,他与Stuart McClure和Joel Scambray共同撰写了《Hacking Exposed》,这是一册针对网罗管制员的网罗安全竹素。该书销量跨越60万册,并被翻译成30多种言语。
同庚晚些时候,他创办了一家网罗安全公司Foundstone,这是最早专诚从事安全征询的公司之一。Foundstone专注于缺点管制软件和服务,并发展出了一个广受认同的事件反馈业务,好多资产100强公司皆是其客户。
McAfee
McAfee在2004年8月以8600万好意思元收购了Foundstone,Kurtz因此成为McAfee的高等副总裁兼风险管制总司理。在职期内,他匡助制定了公司的安全风险管制政策。
2009年10月,McAfee任命他为全球首席技巧官和扩充副总裁。
跟着时候的推移,Kurtz对现存的安全技巧运行徐徐感到颓唐,因为他以为这些技巧莫得跟上新禁止的发展速率。
有一次,他在飞机上看到邻座乘客恭候15分钟才让McAfee软件在札记本电脑上加载散伙,这一事件成为他创立CrowdStrike的灵感之一。
CrowdStrike
2011年11月,Kurtz加入私募股权公司Warburg Pincus,担任「驻企企业家」(entrepreneur-in-residence),并驱动入辖下手他的下一个面貌CrowdStrike。
2012年2月,他与前Foundstone的首席财务官Gregg Marston和Dmitri Alperovitch联手,崇拜成立了CrowdStrike。
CrowdStrike将重心从反坏心软件和防病毒家具(McAfee的网罗安全方法)滚动到识别黑客使用的技巧,以便发现行将到来的禁止。并开发了一种「云优先」(cloud-first)花样,以减少客户想象机上的软件职责。
app开发2017年5月,CrowdStrike估值跨越10亿好意思元。2019年,公司在纳斯达克初次公开募股6.12亿好意思元,估值达到66亿好意思元。
2020年7月,IDC报告将CrowdStrike评为增长最快的端点安全软件供应商。
2024年,Kurtz仍然是CrowdStrike的总裁兼首席扩充官。
竟然,宇宙就是个广阔的草台班子。