CrowdStrike 错误更新导致全球 Windows 工作站大面积中断

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，知名网络安全公司 CrowdStrike 推出的一次错误更新，导致全球各地企业的 Windows 工作站出现大面积中断，引发了广泛关注和担忧。

事件概述

CrowdStrike 的首席执行官乔治·库尔茨 (George Kurtz) 在一份声明中表示，“CrowdStrike 正在积极与受到 Windows 主机单个内容更新中发现的缺陷影响的客户合作。Mac 和 Linux 主机不受影响。这不是安全事件或网络攻击。”

尽管如此，许多企业报告称，Windows 主机上出现了大量蓝屏死机 (BSOD) 的情况。该问题主要影响 CrowdStrike 的 Falcon Sensor 产品，公司已部署修复程序，并敦促客户参考支持门户获取最新更新。

问题的影响

此次中断不仅影响了各个企业，还波及了 Google Cloud Compute Engine，导致使用 CrowdStrike 的 csagent.sys 的 Windows 虚拟机崩溃并进入意外重启状态。微软 Azure 也发布了类似的更新，称一些客户在受影响的虚拟机上多次重启后成功恢复。亚马逊网络服务 (AWS) 则建议受影响的客户采取措施恢复连接。

安全专家的看法

安全研究员 Kevin Beaumont 表示，“我已通过自动更新获取了他们推送的 CrowdStrike 驱动程序。我不知道这是怎么发生的，但该文件不是有效格式的驱动程序，每次都会导致 Windows 崩溃。”

企业和市场反应

此次事件的影响范围广泛，涉及航空公司、金融机构、食品和零售连锁店、医院、酒店、新闻机构、铁路网络和电信公司。受此事件影响，CrowdStrike 的股价在美国盘前交易中下跌了 15%。

CyberArk 的首席信息官 Omer Grossman 在与 The Hacker News 分享的声明中指出，“目前看来，即便是在 7 月份，这一事件也将成为 2024 年最重大的网络问题之一。这对全球业务流程造成的损害是巨大的。”

未来展望

斯洛伐克网络安全公司 ESET 的全球安全顾问杰克·摩尔 (Jake Moore) 强调了实施多重“故障保护”和多样化 IT 基础设施的重要性。他指出，“系统和网络的升级和维护可能会无意中出现一些小错误，但这些错误可能会产生深远的影响。”

OpenSSF 总经理 Omkhar Arasaratnam 进一步强调了技术堆栈多样性的重要性，以提高弹性和安全性。他指出，“单一文化供应链（单一操作系统、单一 EDR）本质上很脆弱，容易受到系统性故障的影响——正如我们所见。”

结语

此次 CrowdStrike 错误更新事件再次提醒我们，全球企业在依赖单一技术供应商时，必须考虑多样化 IT 基础设施的重要性。未来的网络安全和系统稳定性，需要更多的冗余设计和多样化策略，以应对可能出现的各种突发情况。

关注我们，获取更多关于网络安全和技术新闻的最新信息。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：CrowdStrike 错误更新导致全球 Windows 工作站大面积中断