上周五,网络安全公司 CrowdStrike 因推送有缺陷的软件更新而导致Windows 设备蓝屏死机,全球IT中断。现今世界各地都在热议这一事故。
在周六的事后分析博客文章中,CrowdStrike解释说,故障原因是其终端安全响应系统 CrowdStrike Falcon的通道文件(传感器配置)例行更新触发了逻辑错误,从而导致设备崩溃,影响范围为7.11 及更高版本。
该公司另外特别指出,现今有黑客正以提供修补程序为幌子,向客户分发 Remcos RAT恶意软件。英国国家网络安全中心(NCSC)和美国网络安全与基础设施安全局 CISA也警告称,“威胁行为者继续利用广泛的 IT 中断进行网络钓鱼和其他恶意活动。”
据了解,网络犯罪分子迅速通过社会工程攻击利用了这一情况。他们设置了诈骗域名和网络钓鱼页面,伪装成此次蓝屏死机问题的解决方案。例如,黑客组织 Handala 通过从“crowdstrike.com.vc”域发送电子邮件来冒充 CrowdStrike,向客户声称其创建了一个工具用以恢复Windows系统。
实际上,要解决此问题,管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境,并在C:\Windows\System32\drivers\CrowdStrike目录下手动删除有问题的内核驱动程序。然而,由于组织可能面临数百甚至上千台受影响的 Windows 设备,手动执行这些修复可能会存在耗时等问题。
针对这一情况,Microsoft专门发布了一款恢复工具,能够自动从Windows设备中删除有问题的CrowdStrike更新,以使其正常启动。微软支持公告中写道:“作为影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续措施,我们发布了一个 USB 工具来帮助 IT 管理员加快修复过程。用户可在 Microsoft 下载中心找到已签名的 Microsoft 恢复工具:https://go.microsoft.com/fwlink/?linkid=2280386。”
编辑:左右里
资讯来源:Microsoft
转载请注明出处和本文链接
﹀
﹀
﹀
球分享
球点赞
球在看
戳“阅读原文”一起来充电吧!
