发生了什么？

在2024年7月19日12:09（北京时间），作为持续运营的一部分，CrowdStrike发布了一个针对Windows系统的传感器配置更新。这个配置更新是Falcon平台保护机制的一部分。不幸的是，这次更新触发了一个逻辑错误，导致受影响系统的蓝屏死机。

导致系统崩溃的传感器配置更新已于2024年7月19日13:27（北京时间）修复。

我们确认，这个问题并非由网络攻击引起，也与之无关。

影响

在2024年7月19日12:09至13:27（北京时间）期间在线运行Windows版本7.11及以上的Falcon传感器的客户可能会受到影响。

在这段时间内下载了更新配置的运行Windows 7.11及以上版本的Falcon传感器的系统，可能会遇到系统崩溃的问题。

配置文件简介

上述提到的配置文件，也就是我们所说的“通道文件”，是Falcon传感器用于行为保护机制的一部分。通道文件的更新是传感器正常运行的一部分，通常每天都会根据CrowdStrike发现的新威胁进行几次更新。这种更新机制自Falcon平台推出以来就已经存在。

技术细节

在Windows系统中，通道文件存放在以下目录：

C:WindowsSystem32driversCrowdStrike

文件名以“C-”开头。每个通道文件都有一个数字作为唯一标识符。这次事件中受影响的通道文件编号为291，文件名将以“C-00000291-”开头，并以.sys扩展名结尾。虽然这些文件以.sys扩展名结尾，但它们并不是内核驱动程序。

通道文件291负责控制Falcon如何在Windows系统中评估命名管道的执行。命名管道在Windows中用于正常的进程间或系统间通信。

在2024年7月19日12:09（北京时间）进行的更新，旨在针对网络攻击中观察到的新的恶意命名管道。然而，这次配置更新触发了一个逻辑错误，导致了操作系统的崩溃。

通道文件291

CrowdStrike已经通过更新通道文件291的内容来纠正这个逻辑错误。不会再对通道文件291进行超出逻辑更新的额外更改。Falcon平台仍在评估和保护命名管道的滥用行为。

这与通道文件291或任何其他通道文件中包含的空字节无关。

修复

最新的修复建议和信息可以在我们的博客或支持门户上找到。

我们理解一些客户可能有特定的支持需求，我们请他们直接联系我们。

目前未受影响的系统将继续正常运行，继续提供保护，并且在未来也不会有遇到此问题的风险。

运行Linux或macOS的系统不使用通道文件291，因此没有受到影响。

根本原因分析

我们清楚地知道这个问题是如何发生的，我们正在进行彻底的根本原因分析，以确定这个逻辑缺陷是如何产生的。这项工作将持续进行。我们致力于识别我们可以做出的任何基础或工作流程改进，以加强我们的流程。随着调查的进展，我们将不断更新我们的根本原因分析结果。