輯:Aeneas 好困
微軟全球藍屏事件,破案了!
一個由「C-00000291*.sys」配置文件觸發的系統邏輯錯誤,瞬間就破壞掉全世界約10億臺計算機,并在隨后引發所有的二階、三階效應。
就如AI大神Karpathy所言,技術領域還存在著的單點瞬時故障,都將對人類社會造成巨大隱患。
而這次造成全球TI災難的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——
2010年在McAfee用一個更新搞崩全球設備的,竟然也是他!
邏輯錯誤,觸發全球大崩潰
故障發生的第一時間,就有網友向大家發出警告——停止所有CrowdStrike更新!停止所有CrowdStrike更新!
對于事件起因,Objective-See基金會創始人Patrick Wardle也在第一時間就做了一番詳細調查。
首先,他查看了故障位置——mov r9d,[r8]。其中R8屬于未映射的地址。
這個位置取自指針數組(保存在RAX中),索引RDX(0x14 * 0x8)保存了一個無效的內存地址。
其他的「驅動程序」(例如「C-00000291-...32.sys」)似乎是混淆的數據,并且被「CSAgent.sys」進行了x-ref'd操作。
因此,或許是這種無效(配置/簽名)的數據,觸發了CSAgent.sys中的故障。
通過調試,可以更容易地判斷這一點。
顯然,事故中最重要的懸而未決的問題就是,這個「C-00000291-...xxx.sys」文件究竟是什么?
CSAgent.sys一旦引用它們,就立馬崩潰了;而只要刪除它們,就可以修復崩潰。
在VT上,他還對CSAgent.sys以及來自單個故障轉儲的數據進行了逆向分析。
最后,Wardle分享出了CSAgent.sys的幾個版本(+idb),以及各種「C-....sys」文件(包括他認為已經包含了「修復」的最新文件)。
他表示,由于自己沒有任何Windows系統或虛擬機,所以希望網友們能繼續挖掘。
就在昨天,惡意軟件專家Malware Utkonos有了更多細節的發現——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處,似乎有一個針對0xaaaaaaaa的文件魔法檢查。
這個模式,也是「通道文件」(Channel Files)的前四個字節。全部為NULL的文件,就可能會導致該cmp失敗。
可以看到,rcx中與0xaaaaaaaa進行比較的值,由ExAllocatePoolWithTagPriority分配在頂部。那里正是接收ZwReadFile讀取的數據的緩沖區。
這個值會在之后用cmp傳遞給函數(Utkonos在圖中將這些函數命名為內部的wdm.h函數調用)。
通過合理性檢查可發現:0xaaaaaaaa字節模式僅在此處檢查的「通道文件」偏移0處出現過一次。
以下就是執行類似cmp的地址。
可以看到,只有0xaaaaaaaa看起來不同。
很快,CrowdStrike在官博放出的解釋,對于網友們疑惑的問題進行了澄清——
2024年7月19日04:09 UTC,CrowdStrike在持續運營中向Windows系統發布了一次傳感器配置更新,這也是Falcon平臺保護機制的一部分。
這次配置更新觸發了一個邏輯錯誤,導致受影響的系統出現崩潰和藍屏(BSOD)。
導致系統崩潰的更新已于2024年7月19日05:27 UTC得到修復。
報告地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
其中技術細節如下——
在Windows系統中,通道文件位于以下目錄:C:\Windows\System32\drivers\CrowdStrike\,并且文件名以「C-」開頭。每個通道文件都有一個唯一編號作為標識。
此次事件中受影響的通道文件為291,文件名以「C-00000291-」開頭,以.sys擴展名結尾。雖然通道文件以SYS擴展名結尾,但它們不是內核驅動程序.
通道文件291會影響Falcon如何評估Windows系統上的命名管道執行。這些命名管道用于Windows中正常進程間或系統間通信的機制。
周五的更新,本意是針對網絡攻擊中常見的C2框架中所使用的新發現的惡意命名管道,但實際上卻觸發了系統的邏輯錯誤,導致崩潰。
不過,這與通道文件291或任何其他通道文件中的空字節問題無關。
此事已被網友用Suno做成歌曲
要想恢復,就必須在安全模式下啟動機器,并且以本地管理員身份登錄并刪除內容——這是不可能自動化的。
因此,這次癱瘓的打擊面才會這么大,并且難以恢復。
上次也是他
雖然CrowdStrike承認了自己的錯誤,并在周五發布了道歉聲明和解決方案。
但他們尚未解釋清楚,這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。
自然,眾多批評的聲音開始集中到事件的核心人物:CrowdStrike的首席執行官George Kurtz。
科技行業分析師Anshel Sag指出,這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。
熟悉的配方,熟悉的味道
2010年4月21日,殺毒軟件McAfee發布了一次面向企業客戶的軟件更新。
獲得更新后的軟件會刪除一個Windows系統的關鍵文件,導致全球數百萬臺電腦崩潰并反復重啟。
和CrowdStrike的錯誤類似,McAfee的問題也需要手動修復(設備斷網離線)。
而Kurtz,正是當時McAfee的首席技術官。
2012年,Kurtz創立了CrowdStrike,并一直擔任首席執行官至今。
2010年4月21日早上6點,McAfee向企業客戶發布了一個「有問題」的病毒定義更新。
然后,這些自動更新的Windows XP電腦,會直接陷入「無限重啟」的循環中,直到技術支持人員到場手動修復。
背后的原因其實很簡單——殺毒軟件在收到新的定義之后,會將一個常規的Windows二進制文件「svchost.exe」識別為病毒「W32/Wecorl.a」,并予以銷毀。
一位大學IT人員報告稱,他的網絡上有1200臺電腦因此癱瘓。
另一封來自美國企業的電子郵件稱,他們有「數百名用戶」受到了影響:
這個問題影響了大量用戶,而簡單地替換svchost.exe并不能解決問題。你必須啟動到安全模式,然后安裝extra.dat文件,再手動運行vsca 控制臺。之后,你還需要刪除隔離的文件。每個用戶至少有兩個文件被隔離,有些用戶多達15個。不幸的是,使用這種方法,你無法確定你恢復的文件中哪些是重要的系統文件,哪些是病毒文件。
此外,還有一份來自澳大利亞的報告稱,該國最大的超市連鎖店有10%的收銀機癱瘓,導致14到18家商店被迫關閉。
這件事在當時的影響之大,讓眾人紛紛驚嘆:「即便是專注于開發病毒的黑客,估計都做不出能像McAfee今天這樣能迅速『端掉』這么多機器的惡意軟件。」
以下是SANS Internet Storm Center對這次事件的描述:
McAfee版本為5958的「DAT」文件,正在導致大量Windows XP SP3出現問題。受影響的系統將進入重啟循環并失去所有網絡連接。這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。
使用「ePolicyOrchestrator」來更新病毒定義文件,似乎加速了這個有問題的DAT文件的傳播。ePolicyOrchestrator通常用于在企業中更新「DAT」文件,但由于受影響的系統會失去網絡連接,它無法撤銷這個有問題的簽名。
Svchost.exe是Windows系統中最重要的文件之一,它承載了幾乎所有系統功能的服務。如果沒有Svchost.exe,Windows根本無法啟動。
兩起事件雖然相隔14年,但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出并進入生產服務器的。理論上,這類問題應該在測試初期就被發現并解決了才對。
George Kurtz在新澤西州的Parsippany-Troy Hills長大,就讀于Parsippany高中。
Kurtz表示,自己在四年級時就開始在Commodore電腦上編寫電子游戲程序。高中時,建立了早期的網絡交流平臺——公告板系統。
他畢業于西東大學,獲得會計學學位。
隨后他創辦了Foundstone,并曾擔任McAfee的首席技術官。
目前,George Kurtz在與Dmitri Alperovitch共同創立的網絡安全公司CrowdStrike,擔任首席執行官。
除了商業成就外,他還是一名賽車手。
大學畢業后,Kurtz在Price Waterhouse開始了他的職業生涯,擔任注冊會計師(CPA)。
1993年,Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。
1999年,他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》,這是一本針對網絡管理員的網絡安全書籍。該書銷量超過60萬冊,并被翻譯成30多種語言。
同年晚些時候,他創辦了一家網絡安全公司Foundstone,這是最早專門從事安全咨詢的公司之一。Foundstone專注于漏洞管理軟件和服務,并發展出了一個廣受認可的事件響應業務,許多財富100強公司都是其客戶。
McAfee在2004年8月以8600萬美元收購了Foundstone,Kurtz因此成為McAfee的高級副總裁兼風險管理總經理。在任期內,他幫助制定了公司的安全風險管理策略。
2009年10月,McAfee任命他為全球首席技術官和執行副總裁。
隨著時間的推移,Kurtz對現有的安全技術運行緩慢感到沮喪,因為他認為這些技術沒有跟上新威脅的發展速度。
有一次,他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢,這一事件成為他創立CrowdStrike的靈感之一。
2011年11月,Kurtz加入私募股權公司Warburg Pincus,擔任「駐企企業家」(entrepreneur-in-residence),并開始著手他的下一個項目CrowdStrike。
2012年2月,他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手,正式成立了CrowdStrike。
CrowdStrike將重點從反惡意軟件和防病毒產品(McAfee的網絡安全方法)轉移到識別黑客使用的技術,以便發現即將到來的威脅。并開發了一種「云優先」(cloud-first)模式,以減少客戶計算機上的軟件負擔。
2017年5月,CrowdStrike估值超過10億美元。2019年,公司在納斯達克首次公開募股6.12億美元,估值達到66億美元。
2020年7月,IDC報告將CrowdStrike評為增長最快的端點安全軟件供應商。
2024年,Kurtz仍然是CrowdStrike的總裁兼首席執行官。
果然,世界就是個巨大的草臺班子。
參考資料:
https://x.com/MalwareUtkonos/status/1814777806145847310
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
#長文創作激勵計劃#
Linux 6.10 引入了一個新的 DRM Panic 處理程序基礎設施,以便于在出現內核致命錯誤 (Panic),或者 VT 支持可能被禁用的情況下顯示相關信息。
這項功能類似于 Windows 的藍屏死機,此前我們也報道了 Red Hat 工程師 Javier Martinez Canillas 創建的 Linux 版本藍屏死機界面。
詳情查看:Linux“史詩級更新”:藍屏死機界面亮相
有人抱怨這與 Windows 的藍屏過于相似。Javier 表示這都是開源的,因此可以根據自己的喜好進行定制,于是他轉身就拿出了 “黑屏死機界面” (Black Screen Of Death):
近日,Red Hat 的另一位內核工程師,同時也是 DRM Panic 貢獻者——Jocelyn Falempe 提交了新補丁,用于在 DRM Panic 界面中顯示錯誤消息二維碼。
Jocelyn Falempe 介紹稱:
該系列補丁添加了一個新的 "panic" 界面,將 kmsg 數據嵌入二維碼中。二維碼的主要優勢在于可以將調試數據復制 / 粘貼到錯誤報告中。
QR-code 編碼器采用 Rust 編寫,專門用于 drm_panic。原因在于它是在 panic 處理程序中被調用,因此無法分配內存或使用鎖。
該補丁的 Rust 代碼使用了一些 Rust 核心 API,只提供了兩個 C 語言 entry points。
用 Rust 實現這項功能沒有什么特別的原因,我只是想學習一下 Rust,看看它是否能在內核中工作。
下圖是修改了背景顏色,且包含二維碼的 Linux Panic 錯誤信息界面:
詳細的 Panic 錯誤信息如下(示例):
由于內核錯誤信息通常都比較冗長,尤其是在包含堆棧跟蹤的情況下,有時甚至無法在屏幕內顯示內容。
上述補丁將內核錯誤信息簡化為二維碼,可以方便用戶通過智能手機獲取錯誤信息,以便日后分析或附加到錯誤報告等。
Reference
https://lore.kernel.org/rust-for-linux/20240703154309.426867-1-jfalempe@redhat.com/
https://fosstodon.org/@javierm/112650880236436431