024 年 7 月 19 日,全球各地網(wǎng)友突然發(fā)現(xiàn)他們的 Windows 電腦開始頻繁出現(xiàn)藍(lán)屏(BSOD)故障。當(dāng)他們在社交媒體上吐槽時(shí),更嚴(yán)重的危機(jī)也蔓延到了關(guān)鍵領(lǐng)域,包括但不限于零售、航空、金融、醫(yī)療等。比如,美國多家主要航空公司取消航班,銀行和交易所停止服務(wù)。網(wǎng)絡(luò)安全研究員 Troy Hunt 認(rèn)為,這可能是史上最大規(guī)模的 IT 故障。
還記得上一次全球性 Windows 系統(tǒng)崩潰,還發(fā)生在震蕩波/沖擊波等蠕蟲病毒肆虐的時(shí)代。在計(jì)算機(jī)網(wǎng)絡(luò)安全已得到空前重視的今天,這次席卷全球的 Windows 藍(lán)屏故障究竟是如何發(fā)生的呢?
盡管國內(nèi)有些新聞媒體在事件剛開始的時(shí)候,將這次宕機(jī)事故簡單描述為「Windows 系統(tǒng)藍(lán)屏」,并將其歸咎于使用了外國的 Windows 操作系統(tǒng),但這種解釋并不成立。經(jīng)過簡單分析,可以發(fā)現(xiàn):
這些現(xiàn)象表明,導(dǎo)致這次全球 Windows 系統(tǒng)藍(lán)屏宕機(jī)的罪魁禍?zhǔn)撞⒎俏④洠橇碛衅淙恕?/span>
隨著網(wǎng)友、各個(gè)機(jī)構(gòu)以及微軟的介入,這場全球 Windows 系統(tǒng)宕機(jī)故障的原因逐漸清晰——宕機(jī)設(shè)備都安裝了 CrowdStrike 公司的安全軟件。CrowdStrike 的產(chǎn)品主要用于幫助企業(yè)防范勒索軟件等黑客威脅,近年來業(yè)務(wù)擴(kuò)展迅速,成為該領(lǐng)域的主要供應(yīng)商。與傳統(tǒng)防病毒軟件相比,其產(chǎn)品屬于「端點(diǎn)檢測和響應(yīng)」類軟件,可以不斷掃描設(shè)備上的可疑活動并自動做出響應(yīng)。為了實(shí)現(xiàn)這種級別的防護(hù),其組件需要作為驅(qū)動程序運(yùn)行在內(nèi)核級別,從而帶來了造成操作系統(tǒng)故障的潛在風(fēng)險(xiǎn)。
那么你肯定會覺得疑惑,CrowdStrike 是如何讓他們客戶的 Windows 電腦全部藍(lán)屏宕機(jī)的呢?
根據(jù)目前的最新情況來看,CrowdStrike 在安全配置文件上缺乏完善地測試,沒有嚴(yán)格進(jìn)行環(huán)境測試和代碼審查,導(dǎo)致存在 Bug 的更新包未經(jīng)過充分測試就被直接部署到生產(chǎn)環(huán)境;CrowdStrike 也缺乏應(yīng)急回滾機(jī)制,在出現(xiàn)了藍(lán)屏問題以后不能及時(shí)撤銷新推送的安全配置文件;最后不少領(lǐng)域的機(jī)構(gòu)用戶沒有冗余備份,單一節(jié)點(diǎn)故障就導(dǎo)致業(yè)務(wù)停擺。多個(gè)原因疊加就導(dǎo)致了這樣不亞于蠕蟲病毒攻擊的大范圍 IT 故障。
CrowdStrike 暴露的問題遠(yuǎn)不止 Windows 上的問題,今年四月 CrowdStrike 的一次安全更新導(dǎo)致部署其服務(wù)的 Debian Linux 和 Rocky Linux 服務(wù)器無法啟動,經(jīng)調(diào)查后發(fā)現(xiàn)是 CrowdStrike 與最新的 Debian 版本不兼容。
同時(shí),CrowdStrike 在 Linux 事件故障響應(yīng)上也備受批評,在故障發(fā)生一天后才承認(rèn)故障本身,在后續(xù)更為漫長的調(diào)查后才發(fā)現(xiàn)問題在測試上——CrowdStrike 的測試系統(tǒng)矩陣中根本沒有包含最新版 Debian Linux 的配置。
當(dāng)時(shí) Rocky Linux 論壇中的記錄
而在深入挖掘 CrowdStrike 的發(fā)展史后,其實(shí)也不難發(fā)現(xiàn),安全軟件導(dǎo)致系統(tǒng)崩潰這件事上,其創(chuàng)始人可能是個(gè)「慣犯」。
CrowdStrike 成立于 2011 年,其創(chuàng)始人 George Kurtz 此前是計(jì)算機(jī)安全軟件 McAfee 的首席技術(shù)官。在他任上,McAfee 也出過類似的事故——?dú)⒍拒浖?svchost.exe 識別成惡意程序從而錯(cuò)將其刪除,最終導(dǎo)致大量的 Windows XP SP3 循環(huán)重啟并無法上網(wǎng)。正是因?yàn)槟谴问鹿剩瑢?dǎo)致很多 PC 用戶至今仍認(rèn)為給系統(tǒng)安裝安全軟件反而會電腦「不穩(wěn)定」。
早些年 McAfee 的類似事故
George Kurtz 曾解釋到,創(chuàng)建 CrowdStrike 的契機(jī)來源于一次坐航班時(shí),隔壁乘客足足等了 15 分鐘,才讓 McAfee 軟件在自己的筆記本電腦上完全啟動。這讓他覺得需要?jiǎng)?chuàng)辦一家基于云的數(shù)據(jù)安全公司。
CrowdStrike 主要面向企業(yè)提供基于云的一攬子企業(yè)安全解決方案。這次導(dǎo)致大面積 Windows 藍(lán)屏宕機(jī)的是旗下名為 Falcon 的工具,該工具通過識別異常行為和漏洞來保護(hù)計(jì)算機(jī)系統(tǒng)免受惡意軟件等威脅。CrowdStrike 表示自 2011 年成立以來,CrowdStrike 已幫助調(diào)查了多起重大網(wǎng)絡(luò)攻擊,并稱擁有「最快的平均時(shí)間」來檢測威脅。
相關(guān)宣傳內(nèi)容
CrowdStrike 的服務(wù)范圍不在國內(nèi),因此國內(nèi)大部分的機(jī)構(gòu)和個(gè)人電腦也并未受到本次 Windows 藍(lán)屏宕機(jī)的影響。
2024 年 7 月 20 日,微軟和 CrowdStrike 公布了最新的調(diào)查結(jié)果和解決方案。微軟確定了一個(gè)影響 Windows 設(shè)備運(yùn)行的 CrowdStrike Falcon 問題,包括藍(lán)屏錯(cuò)誤信息 0x50 和 0x7E,設(shè)備會處于反復(fù)重啟狀態(tài)。
微軟也在第一時(shí)間發(fā)布了相關(guān)內(nèi)容
想要解決這個(gè)問題,IT 工程師需要重啟并進(jìn)入安全模式,刪除相關(guān)目錄下名為 C-00000291*.sys 的文件,再次重啟系統(tǒng)即可恢復(fù)正常。由于宕機(jī)導(dǎo)致設(shè)備無法遠(yuǎn)程訪問,這樣的恢復(fù)操作只能由 IT 工程師在線下手動進(jìn)行。不過,云服務(wù)器中的 Windows 電腦沒有安全模式,IT 工程師需要挨個(gè)手動連接到虛擬硬盤再刪除。
與此同時(shí),CrowdStrike 也將更新回滾,避免重現(xiàn)故障,至此這次事件暫時(shí)告一段落。微軟提供了專門的修復(fù)工具,輔助 IT 工程師通過 Windows PE 環(huán)境,自動刪除有問題的 CrowdStrike 文件來讓機(jī)器正常啟動;CrowdStrike 則提供了一份新的幫助文檔,來輔助 IT 工程師修復(fù)電腦;CrowdStrike 還提醒道,有新的惡意程序在以「crowdstrike-hotfix.zip」(crowdstrike 問題修復(fù)補(bǔ)丁)的名義在互聯(lián)網(wǎng)上傳播。
雖然事件暫時(shí)告一段落,但我們需要客觀和理性地看待這次事件。在事件剛發(fā)生時(shí),很多媒體在沒有徹底了解事情緣由的情況下,斷然認(rèn)為這是因?yàn)槲④?Windows 操作系統(tǒng)本身存在問題,并借機(jī)無腦炒作,使得本來單純的事件復(fù)雜化。
在隱私模式下用關(guān)鍵詞搜索這次事件時(shí),不少「流量黨」借機(jī)炒作
事實(shí)上,始作俑者 CrowdStrike 主要面向企業(yè)提供服務(wù),因此受到影響的主要是企業(yè)用戶,對于一般用戶幾乎沒有影響。微軟估計(jì),受到此次藍(lán)屏宕機(jī)事件影響的 Windows 電腦可能有 850 萬臺大概占總數(shù)的 1%。
由于受影響的主要是服務(wù)業(yè)等「窗口行業(yè)」,在輿論傳播時(shí),故障的嚴(yán)重程度被無形放大。國內(nèi)大多數(shù)的 Windows 用戶都平安無事,沒有使用 CrowdStrike 的企業(yè)電腦也沒有受到影響。因此,單就 Windows 操作系統(tǒng)本身而言,依舊是可靠且值得信賴的。
這次事件確實(shí)對安全廠商的形象造成了一定損害,CrowdStrike 在軟件開發(fā)和測試過程中存在的重大漏洞是導(dǎo)致此次全球 Windows 藍(lán)屏宕機(jī)的根源。提醒安全廠商需要在頻繁的安全更新與充分的測試之間需要找到一個(gè)平衡點(diǎn),在增強(qiáng)安全同時(shí),減少風(fēng)險(xiǎn)和不確定性。
這次事件后,CrowdStrike 作為安全軟件的侵入性也被不少人所詬病,突顯了高權(quán)限防病毒和 EDR(端點(diǎn)檢測與響應(yīng))解決方案的潛在風(fēng)險(xiǎn)和不足。有網(wǎng)友認(rèn)為:「為了避免類似問題的再次發(fā)生,重新設(shè)計(jì)防病毒和 EDR 解決方案,降低其對高權(quán)限的依賴,顯得尤為重要」。
當(dāng)下,設(shè)計(jì)防病毒更成熟的解決方案則是采用 eBPF。eBPF 是一個(gè)內(nèi)核里的虛擬機(jī),允許開發(fā)者在不修改內(nèi)核源代碼或加載內(nèi)核模塊的情況下,在內(nèi)核中安全地運(yùn)行用戶定義的代碼。
這個(gè)特性使得 eBPF 成為一個(gè)強(qiáng)大的監(jiān)控和過濾工具,基于 eBPF 的工具也不會讓內(nèi)核崩潰。目前微軟正在全力開發(fā) Windows 版本的 eBPF,相信未來 Windows 上安全軟件也可以移植到 eBPF 上,更安全的同時(shí)也能顯著減少這次藍(lán)屏事件的發(fā)生。
當(dāng)然,我們一般用戶也不能因?yàn)榇舜问录汀敢怀簧咭В昱戮K」,讓自己的電腦「裸奔」。畢竟此次 Windows 大面積藍(lán)屏宕機(jī)只是偶發(fā)事件,且主要影響的是企業(yè)客戶。但如果因?yàn)闆]有安裝安全軟件或者關(guān)閉安全軟件而導(dǎo)致個(gè)人資料被加密勒索或泄漏,得不償失。
嘍大家好,我是菜雞。這二十款電腦病毒pk這六款殺毒軟件,看看哪款可以防御成功。接下來是最后一個(gè)出場的是火龍安全,安裝一下火龍安全。火龍安全安裝完成了,一鍵運(yùn)行這二十款電腦病毒,這還有幾款病毒運(yùn)行一下,重啟一下,也是正常的進(jìn)入了系統(tǒng)。
火龍安全防御成功基本上這六款殺毒軟件防御效果基本上是不錯(cuò)的,這二、三、四、五的防御效果要是運(yùn)行完畢濃厚是沒法用了,其他五款都是防御,基本上是完全防御的。
本期視頻就到這里,下期再見,拜拜。
多朋友在使用電腦的過程中,突然就出現(xiàn)藍(lán)屏的情況,不知道是什么原因?qū)е碌模?也不知道該如何維修,本期文章就就說說導(dǎo)致電腦出現(xiàn)藍(lán)屏現(xiàn)象的原因,以及大致的解決辦法。
如果是新購買的電腦,出現(xiàn)藍(lán)屏故障,有可能是硬件之間不兼容導(dǎo)致的,比如內(nèi)存條不兼容、硬盤插口松動、灰塵大等,都會導(dǎo)致電腦出現(xiàn)藍(lán)屏故障。
遇到這種情況,可以先嘗試清灰,如果懂電腦的話,可以將零件拆下來清除灰塵,然后再安裝回去,有可能會恢復(fù)正常。但個(gè)人建議送到維修站,讓其幫忙清理比較好。
軟件故障導(dǎo)致的系統(tǒng)藍(lán)屏是最常見的,比如系統(tǒng)驅(qū)動沖突、磁盤驅(qū)動沖突、引導(dǎo)程序出錯(cuò)等等,都會導(dǎo)致電腦出現(xiàn)莫名其妙的藍(lán)屏。
遇到這種情況,可以根據(jù)藍(lán)屏?xí)r的代碼來判斷故障的原因,比如代碼:0x000B,是嘗試加載一個(gè)格式錯(cuò)誤的程序;再比如代碼:0x0001,不正確的函數(shù)等。像這種故障,一般只要重新安裝系統(tǒng)就可以解決。
除了硬件故障、軟件故障之外,還有一種情況就是感染了木馬或病毒,這種惡意病毒會刪除、替換或更改系統(tǒng)中的一些應(yīng)用程序和系統(tǒng)文件,導(dǎo)致系統(tǒng)出現(xiàn)一些未知的錯(cuò)誤和故障,最終出現(xiàn)藍(lán)屏情況。
遇到這種問題,可以嘗試重新開機(jī),如果能夠重新開機(jī),使用殺毒軟件查殺病毒,然后再進(jìn)行修復(fù),有一定的幾率恢復(fù)系統(tǒng)。但如果查殺之后,問題仍然存在,最穩(wěn)妥的辦法就是格式化硬盤,然后重新安裝系統(tǒng)。
題外話:另外附帶一些藍(lán)屏代碼的“解釋”,也是電腦藍(lán)屏提示比較常見的代碼。如下:
1 0x0001 不正確的函數(shù)。
2 0x0002 系統(tǒng)找不到指定的檔案。
3 0x0003 系統(tǒng)找不到指定的路徑。
4 0x0004 系統(tǒng)無法開啟檔案。
5 0x0005 拒絕存取。
6 0x0006 無效的代碼。
7 0x0007 儲存體控制區(qū)塊已毀。
8 0x0008 儲存體空間不足,無法處理這個(gè)指令。
9 0x0009 儲存體控制區(qū)塊地址無效。
10 0x000A 環(huán)境不正確。
11 0x000B 嘗試加載一個(gè)格式錯(cuò)誤的程序。
12 0x000C 存取碼錯(cuò)誤。
13 0x000D 資料錯(cuò)誤。
14 0x000E 儲存體空間不夠,無法完成這項(xiàng)作業(yè)。
15 0x000F 系統(tǒng)找不到指定的磁盤驅(qū)動器。
16 0x0010 無法移除目錄。
16 0x0010 無法移除目錄。
17 0x0011 系統(tǒng)無法將檔案移到 其它的磁盤驅(qū)動器。
18 0x0012 沒有任何檔案。
19 0x0013 儲存媒體為寫保護(hù)狀態(tài)。
20 0x0014 系統(tǒng)找不到指定的裝置。
21 0x0015 裝置尚未就緒。
22 0x0016 裝置無法識別指令。
23 0x0017 資料錯(cuò)誤 (cyclic redundancy check)
24 0x0018 程序發(fā)出一個(gè)長度錯(cuò)誤的指令。
25 0x0019 磁盤驅(qū)動器在磁盤找不到 特定的扇區(qū)或磁道。
26 0x001A 指定的磁盤或磁盤無法存取。
27 0x001B 磁盤驅(qū)動器找不到要求的扇區(qū)。
28 0x001C 打印機(jī)沒有紙。
29 0x001D 系統(tǒng)無法將資料寫入指定的磁盤驅(qū)動器。
30 0x001E 系統(tǒng)無法讀取指定的裝置。