安全廠商CrowdStrike一次錯誤更新導致微軟藍色畫面當機 (BSOD) ,世界各地 IT 管理員都在忙著手工修復這個大bug。微軟與此次大面積當機無關。
雖然 CrowdStrike 已經修復了最初導致問題的更新,但許多系統仍處於離線狀態,銀行、航空公司、超市和電視廣播公司在沒有連線的情況下苦苦掙扎。
Crowdstrike釋出了一個錯誤的Windows更新。該修補程式在核心模式下執行,以在低階別監視系統活動。因為它是在核心模式下執行的,錯誤程式碼試圖訪問一個無效的記憶體位置,從而引發了藍色畫面。
錯誤更新的驅動程式檔案的名稱是“C-00000291.sys”,刪除它可以修復問題,不幸的是,這需要手動完成。
對於許多人來說,修復並不容易。IT 管理員仍在嘗試使用 CrowdStrike 提供的初始解決方法,其中包括將 Windows 系統啟動到安全模式並刪除系統檔案:
- 將 Windows 啟動到安全模式或 Windows 恢復環境
- 導航到 C:WindowsSystem32driversCrowdStrike 目錄
- 找到匹配“C-00000291*.sys”的檔案並將其刪除
- 啟動主機
這些步驟強制 Windows 啟動到安全模式環境,在該環境中,第三方驅動程式(如 CrowdStrike 的核心級驅動程式)無法載入。然後,IT 管理員必須在磁碟上找到故障驅動程式並將其刪除。在大多數情況下,此解決方法需要物理訪問機器。在某些環境中,BitLocker 等磁碟加密甚至缺乏管理員許可權可能會使刪除故障驅動程式變得複雜。
CrowdStrike是一家總部位於美國加利福尼亞州的網路安全公司,成立於2011年,致力於提供基於雲端計算的端點保護解決方案。其主要產品是CrowdStrike Falcon平臺,該平臺利用人工智慧和機器學習技術來檢測、預防和響應網路威脅。
CrowdStrike的Falcon平臺可以與微軟的安全產品整合,如Microsoft Azure和Microsoft 365,以增強整體網路安全防護能力。
網友:
1、真是一團糟,哈哈,我現在一點也不羨慕任何 IT/支援人員。我住的地方現在是午夜,但我女朋友的公司將在一片火海中醒來,他們有數百甚至數千名員工在遠離總部的家鄉工作。膝上型電腦卡在啟動迴圈中,而且它們都是 BitLocker。
對於 IT 來說這將是一個地獄般的週末哈哈哈
2、太平洋標準時間 10:57 時,共計 210K BSODS......並且數量持續增加......這很糟糕......
最終總共有大約 170k 臺裝置(許多裝置有多個),但並非所有裝置都報告了崩潰(Nexthink FTW)。許多裝置都恢復了,但看起來大約有 16k 臺裝置完全癱瘓……不包括需要手動啟動到安全模式才能修復的幾千臺伺服器。
凌晨 3 點,300 人正在為這場危機拼盡全力……上帝保佑那些沉睡的支援技術人員,他們不知道今天要做什麼
3、我們正在治療一名心臟病患者,但整個急診科都癱瘓了。我們州的 911 也癱瘓了。由於其他附近醫院癱瘓,人們無處可去。很難想象這一次糟糕的更新造成了數百萬甚至數十億美元的損失。
4、昨晚我媽媽因為中風症狀被送進急診室,並接受了 MRI 檢查。MRI 影像無法傳送給場外放射科醫生,他們不得不進來——結果發現 MRI 輸出根本不起作用。
醫生半夜讓我們出院,護士直到凌晨 4 點才來到檢查室通知我們。我無法想象這造成了多大的混亂。
5、Crowdstrike 安裝在醫院的每臺機器上,因為幾年前醫院和醫療中心成為勒索軟體的主要目標。這迫使醫療中心購買保險以防業務損失並恢復資料。為公司提供勒索軟體保險的保險公司堅持在每臺機器上安裝基於主機的安全系統,否則他們不會承擔損失。因此,Crowdstrike(或其競爭對手之一)必須在每臺機器上執行。
6、看起來crowdstrike問題是一個解引用的空指標,它試圖使用'mov r9 d,dward ptr r[8]'彙編操作訪問空記憶體。
7、埃隆 馬斯克 宣佈:我們已經從所有系統中刪除了Crowdstrike。
8、更糟糕是,CrowdStrike可以訪問世界上幾乎所有的系統或者航空公司在Windows伺服器上執行的系統的核心