发布日期:2024-08-27 11:55 点击次数:55 |
绝了,外媒刚刚发现:这次变成微软蓝屏横祸的CrowdStrike CEO,在Windows XP期间就曾搞崩过全球的斥地。相似是一次更新,相似让斥地断网,相似要东说念主工建造。两次导致全球IT横祸,此君不错「名敬重史」了。
微软全球蓝屏事件,破案了!
福彩快乐8第2024175期(上周三)开奖回顾:07 09 12 15 17 19 32 33 40 47 48 49 55 58 62 65 66 69 70 73,其中奖号遗漏总值为60,冷温热码比为3:6:11。
app一个由「C-00000291*.sys」建树文献触发的系统逻辑诞妄,短暂就防碍掉全寰球约10亿台野神思,并在随后激励通盘的二阶、三阶效应。
就如AI大神Karpathy所言,时间范围还存在着的单点瞬时故障,齐将对东说念主类社会变成盛大隐患。
而这次变周密球TI横祸的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——
2010年在McAfee用一个更新搞崩全球斥地的,竟然亦然他!
逻辑诞妄,触发全球大崩溃故障发生的第一时期,就有网友向群众发出劝诫——住手通盘CrowdStrike更新!住手通盘CrowdStrike更新!
关于事件缘故,Objective-See基金会首创东说念主Patrick Wardle也在第一时期就作念了一番珍重看望。
领先,他稽察了故障位置——mov r9d,[r8]。其中R8属于未映射的地址。
这个位置取自指针数组(保存在RAX中),索引RDX(0x14 * 0x8)保存了一个无效的内存地址。
其他的「驱动要领」(举例「C-00000291-...32.sys」)似乎是欺凌的数据,何况被「CSAgent.sys」进行了x-ref'd操作。
因此,约略是这种无效(建树/签名)的数据,触发了CSAgent.sys中的故障。
通过调试,不错更容易地判断这少许。
昭彰,事故中最要紧的悬而未决的问题就是,这个「C-00000291-...xxx.sys」文献究竟是什么?
CSAgent.sys一朝援用它们,就立马崩溃了;而只须删除它们,就不错建造崩溃。
在VT上,他还对CSAgent.sys以及来自单个故障转储的数据进行了逆向分析。
终末,Wardle共享出了CSAgent.sys的几个版块(+idb),以及各式「C-....sys」文献(包括他以为也曾包含了「建造」的最新文献)。
他暗意,由于我方莫得任何Windows系统或捏造机,是以但愿网友们能络续挖掘。
就在昨天,坏心软件巨匠Malware Utkonos有了更多细节的发现——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66这个地址处,似乎有一个针对0xaaaaaaaa的文献魔法搜检。
这个款式,亦然「通说念文献」(Channel Files)的前四个字节。一说念为NULL的文献,就可能会导致该cmp失败。
不错看到,rcx中与0xaaaaaaaa进行相比的值,由ExAllocatePoolWithTagPriority分派在顶部。那边恰是摄取ZwReadFile读取的数据的缓冲区。
这个值会在之后用cmp传递给函数(Utkonos在图中将这些函数定名为里面的wdm.h函数调用)。
通过合感性搜检可发现:0xaaaaaaaa字节款式仅在此处搜检的「通说念文献」偏移0处出现过一次。
以下就是实行雷同cmp的地址。
不错看到,唯有0xaaaaaaaa看起来不同。
CrowdStrike官方证据
很快,CrowdStrike在官博放出的证据,关于网友们疑心的问题进行了领会——
2024年7月19日04:09 UTC,CrowdStrike在抓续运营中向Windows系统发布了一次传感器建树更新,这亦然Falcon平台保护机制的一部分。
这次建树更新触发了一个逻辑诞妄,导致受影响的系统出现崩溃和蓝屏(BSOD)。
导致系统崩溃的更新已于2024年7月19日05:27 UTC得到建造。
呈报地址:https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
其中时间细节如下——
在Windows系统中,通说念文献位于以下目次:C:WindowsSystem32driversCrowdStrike,何况文献名以「C-」起原。每个通说念文献齐有一个独一编号当作符号。
这次事件中受影响的通说念文献为291,文献名以「C-00000291-」起原,以.sys彭胀名放弃。天然通说念文献以SYS彭胀名放弃,但它们不是内核驱动要领.
通说念文献291会影响Falcon如何评估Windows系统上的定名管说念实行。这些定名管说念用于Windows中通俗程度间或系统间通讯的机制。
周五的更新,本意是针对网罗纰谬中常见的C2框架中所使用的新发现的坏心定名管说念,但实质上却触发了系统的逻辑诞妄,导致崩溃。
不外,这与通说念文献291或任何其他通说念文献中的空字节问题无关。
此事已被网友用Suno作念成歌曲
要思归附,就必须在安全款式下启动机器,何况以土产货照拂员身份登录并删除内容——这是不可能自动化的。
因此,这次瘫痪的打击面才会这样大,何况难以归附。
前次亦然他天然CrowdStrike承认了我方的诞妄,并在周五发布了说念歉声明和惩办决策。
但他们尚未证据明晰,这个防碍性的更新是如安在未过程测试和其他安全门径的情况下发布的。
天然,盛大月旦的声息初始聚积到事件的中枢东说念主物:CrowdStrike的首席实行官George Kurtz。
科技行业分析师Anshel Sag指出,这也曾不是库尔茨第一次在要紧IT事件中饰演要紧脚色了。
老练的配方,老练的滋味
2010年4月21日,杀毒软件McAfee发布了一次面向企业客户的软件更新。
取得更新后的软件会删除一个Windows系统的要津文献,导致全球数百万台电脑崩溃并反复重启。
和CrowdStrike的诞妄雷同,McAfee的问题也需要手动建造(斥地断网离线)。
而Kurtz,恰是其时McAfee的首席时间官。
2012年,Kurtz创立了CrowdStrike,并一直担任首席实行官于今。
2010年,发生了什么?
2010年4月21日早上6点,McAfee向企业客户发布了一个「有问题」的病毒界说更新。
然后,APP开发资讯这些自动更新的Windows XP电脑,会径直堕入「无尽重启」的轮回中,直到时间援救东说念主员到场手动建造。
背后的原因其实很通俗——杀毒软件在收到新的界说之后,会将一个成例的Windows二进制文献「svchost.exe」识别为病毒「W32/Wecorl.a」,并赐与糟跶。
一位大学IT东说念主员呈报称,他的网罗上有1200台电脑因此瘫痪。
另一封来自好意思国企业的电子邮件称,他们有「数百名用户」受到了影响:
这个问题影响了多半用户,而通俗地替换svchost.exe并不成惩办问题。你必须启动到安全款式,然后装置extra.dat文献,再手动运行vsca 狂放台。之后,你还需要删除进军的文献。每个用户至少有两个文献被进军,有些用户多达15个。不幸的是,使用这种方法,你无法笃定你归附的文献中哪些是要紧的系统文献,哪些是病毒文献。
此外,还有一份来自澳大利亚的呈报称,该国最大的超市连锁店有10%的收银机瘫痪,导致14到18家商店被动关闭。
这件事在其时的影响之大,让世东说念主纷繁感触:「即即是专注于开发病毒的黑客,料想齐作念不出能像McAfee今天这样能飞速『端掉』这样多机器的坏心软件。」
以下是SANS Internet Storm Center对这次事件的描述:
McAfee版块为5958的「DAT」文献,正在导致多半Windows XP SP3出现问题。受影响的系统将插足重启轮回并失去通盘网罗相投。这个有问题的DAT文献可能会感染单个劳动站以及相投到域的劳动站。
使用「ePolicyOrchestrator」来更新病毒界说文献,似乎加快了这个有问题的DAT文献的传播。ePolicyOrchestrator常常用于在企业中更新「DAT」文献,但由于受影响的系统会失去网罗相投,它无法拔除这个有问题的签名。
Svchost.exe是Windows系统中最要紧的文献之一,它承载了确切通盘系统功能的服务。若是莫得Svchost.exe,Windows压根无法启动。
两起事件天然相隔14年,但却有着相似的疑心——这样的更新是如何从测试履行室流出并插足分娩服务器的。表面上,这类问题应该在测试初期就被发现并惩办了才对。
何许东说念主也?
George Kurtz在新泽西州的Parsippany-Troy Hills长大,就读于Parsippany高中。
Kurtz暗意,我方在四年事时就初始在Commodore电脑上编写电子游戏要领。高中时,建立了早期的网罗调换平台——公告板系统。
他毕业于西东大学,取得司帐学学位。
随后他创办了Foundstone,并曾担任McAfee的首席时间官。
当今,George Kurtz在与Dmitri Alperovitch共同创立的网罗安全公司CrowdStrike,担任首席实行官。
除了买卖成就外,他照旧又名赛车手。
Price Waterhouse(普华永说念)和 Foundstone
大学毕业后,Kurtz在Price Waterhouse初始了他的业绩生计,担任注册司帐师(CPA)。
1993年,Price Waterhouse让Kurtz成为其新竖立的安全组的首批职工之一。
1999年,他与Stuart McClure和Joel Scambray共同撰写了《Hacking Exposed》,这是一册针对网罗照拂员的网罗安全册本。该书销量卓越60万册,并被翻译成30多种讲话。
同庚晚些时候,他创办了一家网罗安全公司Foundstone,这是最早挑升从事安全连接的公司之一。Foundstone专注于破绽照拂软件和服务,并发展出了一个广受认同的事件反映业务,好多钞票100强公司齐是其客户。
McAfee
McAfee在2004年8月以8600万好意思元收购了Foundstone,Kurtz因此成为McAfee的高等副总裁兼风险照拂总司理。在职期内,他匡助制定了公司的安全风险照拂战术。
2009年10月,McAfee任命他为全球首席时间官和实行副总裁。
跟着时期的推移,Kurtz对现存的安全时间运行渐渐感到颓唐,因为他以为这些时间莫得跟上新胁迫的发展速率。
有一次,他在飞机上看到邻座乘客恭候15分钟才让McAfee软件在条记本电脑上加载已毕,这一事件成为他创立CrowdStrike的灵感之一。
CrowdStrike
2011年11月,Kurtz加入私募股权公司Warburg Pincus,担任「驻企企业家」(entrepreneur-in-residence),并初始入部属手他的下一个样式CrowdStrike。
2012年2月,他与前Foundstone的首席财务官Gregg Marston和Dmitri Alperovitch联手,看重竖立了CrowdStrike。
CrowdStrike将重心从反坏心软件和防病毒产物(McAfee的网罗安全方法)回荡到识别黑客使用的时间,以便发现行将到来的胁迫。并开发了一种「云优先」(cloud-first)款式,以减少客户野神思上的软件包袱。
2017年5月,CrowdStrike估值卓越10亿好意思元。2019年,公司在纳斯达克初次公开募股6.12亿好意思元,估值达到66亿好意思元。
2020年7月,IDC呈报将CrowdStrike评为增长最快的端点安全软件供应商。
2024年,Kurtz仍然是CrowdStrike的总裁兼首席实行官。
竟然,寰球就是个盛大的草台班子。
本文来源:新智元软件开发公司推荐,原文标题:《两次全球蓝屏,首恶竟是归并东说念主?14年后,灭霸CEO再酿IT横祸》
风险辅导及免责条目 市集有风险,投资需严慎。本文不组成个东说念主投资冷落,也未磋商到个别用户极端的投资指标、财务现象或需要。用户应试虑本文中的任何倡导、不雅点或论断是否安妥其特定现象。据此投资,使命酣畅。