轉自新智元
【導讀】絕了,外媒剛剛發現:這次造成微軟藍屏災難的CrowdStrike CEO,在Windows XP時代就曾搞崩過全球的設備。同樣是一次更新,同樣讓設備斷網,同樣要人工修復。兩次導致全球IT災難,此君可以「名垂青史」了。
微軟全球藍屏事件,破案了!
一個由「C-00000291*.sys」配置文件觸發的系統邏輯錯誤,瞬間就破壞掉全世界約10億臺計算機,並在隨後引發所有的二階、三階效應。就如AI大神Karpathy所言,技術領域還存在著的單點瞬時故障,都將對人類社會造成巨大隱患。
而這次造成全球TI災難的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——2010年在McAfee用一個更新搞崩全球設備的,竟然也是他!
CrowdStrike官方解釋
很快,CrowdStrike在官博放出的解釋,對於網友們疑惑的問題進行了澄清——2024年7月19日04:09 UTC,CrowdStrike在持續運營中向Windows系統發佈了一次傳感器配置更新,這也是Falcon平臺保護機制的一部分。
這次配置更新觸發了一個邏輯錯誤,導致受影響的系統出現崩潰和藍屏(BSOD)。
導致系統崩潰的更新已於2024年7月19日05:27 UTC得到修復。
報告地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
其中技術細節如下——在Windows系統中,通道文件位於以下目錄:C:\Windows\System32\drivers\CrowdStrike\,並且文件名以「C-」開頭。
每個通道文件都有一個唯一編號作為標識。此次事件中受影響的通道文件為291,文件名以「C-00000291-」開頭,以.sys擴展名結尾。雖然通道文件以SYS擴展名結尾,但它們不是內核驅動程序.通道文件291會影響Falcon如何評估Windows系統上的命名管道執行。這些命名管道用於Windows中正常進程間或系統間通信的機制。
週五的更新,本意是針對網絡攻擊中常見的C2框架中所使用的新發現的惡意命名管道,但實際上卻觸發了系統的邏輯錯誤,導致崩潰。不過,這與通道文件291或任何其他通道文件中的空字節問題無關。
要想恢復,就必須在安全模式下啟動機器,並且以本地管理員身份登錄並刪除內容——這是不可能自動化的。因此,這次癱瘓的打擊面才會這麼大,並且難以恢復。
上次也是他
雖然CrowdStrike承認了自己的錯誤,並在週五發佈了道歉聲明和解決方案。但他們尚未解釋清楚,這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。自然,眾多批評的聲音開始集中到事件的核心人物:CrowdStrike的首席執行官George Kurtz。
科技行業分析師Anshel Sag指出,這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。
對於那些不記的人來說,2010年,McAfee的Windows XP出現了一個巨大的故障,導致大部分互聯網癱瘓。當時擔任McAfee首席技術官的人現在是Crowdstrike的首席執行官。McAfee事件給公司造成了巨大的損失,他們最終將公司賣給了英特爾。
2010年4月21日,殺毒軟件McAfee發佈了一次面向企業客戶的軟件更新。獲得更新後的軟件會刪除一個Windows系統的關鍵文件,導致全球數百萬臺電腦崩潰並反覆重啟。和CrowdStrike的錯誤類似,McAfee的問題也需要手動修復(設備斷網離線)。而Kurtz,正是當時McAfee的首席技術官。2012年,Kurtz創立了CrowdStrike,並一直擔任首席執行官至今。
2010年,發生了什麼?
2010年4月21日早上6點,McAfee向企業客戶發佈了一個「有問題」的病毒定義更新。
然後,這些自動更新的Windows XP電腦,會直接陷入「無限重啟」的循環中,直到技術支持人員到場手動修復。
背後的原因其實很簡單——殺毒軟件在收到新的定義之後,會將一個常規的Windows二進制文件「svchost.exe」識別為病毒「W32/Wecorl.a」,並予以銷燬。
一位大學IT人員報告稱,他的網絡上有1200臺電腦因此癱瘓。另一封來自美國企業的電子郵件稱,他們有「數百名用戶」受到了影響:這個問題影響了大量用戶,而簡單地替換svchost.exe並不能解決問題。你必須啟動到安全模式,然後安裝extra.dat文件,再手動運行vsca 控制檯。
之後,你還需要刪除隔離的文件。每個用戶至少有兩個文件被隔離,有些用戶多達15個。不幸的是,使用這種方法,你無法確定你恢復的文件中哪些是重要的系統文件,哪些是病毒文件。此外,還有一份來自澳大利亞的報告稱,該國最大的超市連鎖店有10%的收銀機癱瘓,導致14到18家商店被迫關閉。這件事在當時的影響之大,讓眾人紛紛驚歎:「即便是專注於開發病毒的黑客,估計都做不出能像McAfee今天這樣能迅速『端掉』這麼多機器的惡意軟件。」
以下是SANS Internet Storm Center對這次事件的描述:
McAfee版本為5958的「DAT」文件,正在導致大量Windows XP SP3出現問題。受影響的系統將進入重啟循環並失去所有網絡連接。這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。使用「ePolicyOrchestrator」來更新病毒定義文件,似乎加速了這個有問題的DAT文件的傳播。ePolicyOrchestrator通常用於在企業中更新「DAT」文件,但由於受影響的系統會失去網絡連接,它無法撤銷這個有問題的簽名。Svchost.exe是Windows系統中最重要的文件之一,它承載了幾乎所有系統功能的服務。如果沒有Svchost.exe,Windows根本無法啟動。
兩起事件雖然相隔14年,但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出並進入生產服務器的。理論上,這類問題應該在測試初期就被發現並解決了才對。
何許人也?
George Kurtz在新澤西州的Parsippany-Troy Hills長大,就讀於Parsippany高中。Kurtz表示,自己在四年級時就開始在Commodore電腦上編寫電子遊戲程序。高中時,建立了早期的網絡交流平臺——公告板系統。他畢業於西東大學,獲得會計學學位。
隨後他創辦了Foundstone,並曾擔任McAfee的首席技術官。目前,George Kurtz在與Dmitri Alperovitch共同創立的網絡安全公司CrowdStrike,擔任首席執行官。除了商業成就外,他還是一名賽車手。
大學畢業後,Kurtz在Price Waterhouse(普華永道)開始了他的職業生涯,擔任註冊會計師(CPA)。1993年,Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。
1999年,他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》,這是一本針對網絡管理員的網絡安全書籍。該書銷量超過60萬冊,並被翻譯成30多種語言。
同年晚些時候,他創辦了一家網絡安全公司Foundstone,這是最早專門從事安全諮詢的公司之一。Foundstone專注於漏洞管理軟件和服務,並發展出了一個廣受認可的事件響應業務,許多財富100強公司都是其客戶。
McAfee在2004年8月以8600萬美元收購了Foundstone,Kurtz因此成為McAfee的高級副總裁兼風險管理總經理。在任期內,他幫助制定了公司的安全風險管理策略。2009年10月,McAfee任命他為全球首席技術官和執行副總裁。
隨著時間的推移,Kurtz對現有的安全技術運行緩慢感到沮喪,因為他認為這些技術沒有跟上新威脅的發展速度。
有一次,他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢,這一事件成為他創立CrowdStrike的契機之一。
2011年11月,Kurtz加入私募股權公司Warburg Pincus,擔任「駐企企業家」(entrepreneur-in-residence),並開始著手他的下一個項目CrowdStrike。2012年2月,他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手,正式成立了CrowdStrike。
CrowdStrike將重點從反惡意軟件和防病毒產品(McAfee的網絡安全方法)轉移到識別黑客使用的技術,以便發現即將到來的威脅。並開發了一種「雲優先」(cloud-first)模式,以減少客戶計算機上的軟件負擔。
2017年5月,CrowdStrike估值超過10億美元。2019年,公司在納斯達克首次公開募股6.12億美元,估值達到66億美元。
2020年7月,IDC報告將CrowdStrike評為增長最快的端點安全軟件供應商。2024年,Kurtz仍然是CrowdStrike的總裁兼首席執行官。
果然,世界就是個巨大的草臺班子。
參考資料:https://x.com/MalwareUtkonos/status/1814777806145847310https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/