CrowdStrike 将上周引发的大规模冲突事件归咎于自己测试软件中的一个漏洞。周三,该公司更新了修复指南,增加了"初步事件后回顾"(PIR),提供了该公司对如何导致 850 万台 Windows 操作系统瘫痪的看法。
解释的开头详细说明了 CrowdStrike 的猎鹰传感器附带的"传感器内容"定义了其功能。该软件通过"快速反应内容"进行更新,从而能够检测和收集新威胁的信息。
传感器内容依赖于"模板类型",即包含预定义字段的代码,供威胁检测工程师在快速响应内容中使用。
快速反应内容以"模板实例"的形式提供,CrowdStrike 将其描述为"特定模板类型的实例"。每个模板实例都映射了传感器软件需要观察、检测或预防的特定行为。
2024 年 2 月,CrowdStrike 推出了一种新的"InterProcessCommunication(IPC)模板类型",该供应商旨在检测"滥用命名管道的新型攻击技术"。
IPC 模板类型已于 3 月 5 日通过测试,因此发布了使用该类型的模板实例。
4 月 8 日至 4 月 24 日期间又部署了三个 IPC 模板实例。所有实例的运行都没有导致 850 万台 Windows 机器崩溃--不过,正如我们本周早些时候报道的那样,Linux 机器在四月份也遇到了 CrowdStrike 的问题。
7 月 19 日,CrowdStrike 又推出了两个 IPC 模板实例。其中一个包含"有问题的内容数据",但由于 CrowdStrike 称其为"内容验证器中的一个错误",该模板还是投入了生产。
帖子中没有详细说明内容验证器的作用,我们假设它的作用和名字一样。
无论验证器做了什么或应该做什么,它都没有阻止 7 月 19 日模板实例的发布。之所以出现这种情况,是因为 CrowdStrike 认为,通过了 3 月份交付的 IPC 模板类型测试以及随后的相关 IPC 模板实例测试,就意味着 7 月 19 日的发布没有问题。
历史告诉我们,这是一个非常错误的假设。它"导致越界内存读取引发异常,无法从容应对这一意外异常,导致在大约 850 万台机器上运行的 Windows 操作系统崩溃。"
事件报告包括承诺更严格地测试未来的快速反应内容、错开发布时间、为用户提供更多关于何时部署的控制以及提供发布说明。
报告还包括一项承诺,即一旦 CrowdStrike 完成调查,将发布完整的根本原因分析报告。