长亭百川云 - 文章详情

黑天鹅出没!微软突发“蓝屏派对” ,系统崩溃陷入混乱

嘶吼专业版

42

2024-07-20

7月19日,微软在全球多地出现“蓝屏故障”,大量用户无法正常操作系统,其中不少出现了“csagent.sys”错误。其原因是美国网络安全服务提供商CrowdStrike更新错误所致。该事件影响到了世界各地的各种组织和服务,包括机场、电视台和医院等大型企业。

事发当天,大量用户反馈在安装 CrowdStrike Falcon Sensor 的最新更新后,Windows 主机陷入启动循环或显示蓝屏死机 (BSOD)。

该安全供应商承认了该问题,并发布了技术警报,解释称其工程师“发现了与此问题相关的内容部署并撤销了这些更改”。

CrowdStrike 的工程团队迅速应对了这一危机。根据该公司论坛上的一个置顶帖,该团队已确定与该问题相关的内容部署并恢复了这些更改。

CrowdStrike透露,罪魁祸首是一个通道文件,其中包含传感器的数据。由于它只是传感器更新的一个组件,因此可以单独解决此类文件,而无需删除 Falcon 传感器更新。

对于已经受到影响的用户,CrowdStrike 提供了以下解决方法:

1、将 Windows 启动到安全模式或 Windows 恢复环境

(1)重启你的电脑。

(2)当您的计算机重新启动时,按F8(或Shift + F8)打开高级启动选项菜单。

(3)选择Safe Mode并按 Enter。

2、删除相关文件

(1)导航到 C:\Windows\System32\drivers\CrowdStrike 目录。

(2)找到匹配“C-00000291*.sys”的文件,并将其删除。

3、重启电脑。

CrowdStrike 的首席执行官表示他们已经发布了修复程序,并建议客户下载最新更新。

CrowdStrike 首席执行官就故障更新导致 Windows 主机崩溃一事发表评论

在更新的声明中,CrowdStrike 表示“有问题的文件 [ C-00000291*.sys”,时间戳为 0409 UTC ] 已被恢复”,其正确版本是 C-00000291*.sys, 时间戳为 0527 UTC 或更新。

该公司还提供了两种解决云和虚拟环境中该问题的选项,一种是回滚到 UTC 04:09 之前的快照。第二种选择是以下七步程序:

1.从受影响的虚拟服务器中分离操作系统磁盘卷

2.在继续操作之前,请创建磁盘卷的快照或备份,以防发生意外更改

3.将卷附加/安装到新的虚拟服务器

4.导航到 %WINDIR%\System32\drivers\CrowdStrike 目录

5.找到匹配“C-00000291*.sys”的文件,并将其删除。

6.从新的虚拟服务器分离卷

7.将固定卷重新连接到受影响的虚拟服务器

对于此次微软蓝屏事件,奇安信安全专家汪列军表示:

CrowdStrike软件更新导致Windows计算机瘫痪的主要原因是其核心驱动csagent.sys出现了bug,导致操作系统无法正常启动,甚至出现蓝屏。这种情况与一般应用程序不同,因为安全软件的驱动操作涉及操作系统底层,一旦出现问题就会直接影响系统稳定性。

这一事件影响广泛,特别是在亚太地区(如日本)首先显现,但也在欧美等其他地区引起了不小的波及。影响范围主要集中在使用CrowdStrike的外企及其在中国的分支机构,以及部分国外的云计算环境,尤其是基于Windows的应用实例。

虽然事件影响了多个Windows版本,但具体影响的范围可能因技术细节而有所不同。此外,虽然有简单的修复方法,例如手动删除或重命名相关驱动文件,但由于涉及大量机器且无法集中管理,修复过程相对耗时复杂,需要逐台操作。

综上所述,这一事件显示了安全软件更新可能带来的系统性风险,尤其是对大规模部署的影响管理和应急响应能力提出了挑战。

参考及文献来源:

**·**https://gbhackers.com/crowdstrike-update-triggers-widespread/

**·**https://www.bleepingcomputer.com/news/security/crowdstrike-update-crashes-windows-systems-causes-outages-worldwide/

**·**奇安信安全专家汪列军解读。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2