聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CrowdStrike 公司如今已变得臭名昭著的 Falcon Sensor 软件在上周导致全球大量 Windows 计算机宕机,而它也曾导致 Linux 机器崩溃。
Linux 机器恐慌和崩溃
Red Hat 公司在6月份层提醒客户注意“在falcon-sensor 进程启动 5.14.0-427.13.1.el9_4.x86_64后观测到的内核恐慌”情况,在内核版本5.14.0-427.13.1.el9_4.x86_64启动后一些 Red Hat Enterprise Linux 9.4 客户受到内核恐慌的影响。
该公司还发布另外一个题为“cshook_network_ops_inet6_sockraw_release+0x171a9 处系统崩溃”的问题,建议用户“获取关于 CrowdStrike Falcon Sensor/Agent安全软件套件提供的内核模块 falcon_lsm_serviceable 的潜在问题的调试协助”,并建议“禁用 CrowdStrike Falcon Sensor/Agent 软件套件将在调查期间,缓解崩溃现象并向该系统提供临时稳定性”,“已经注意到该问题但它不仅限于6和7版本。”
另一些报告称,CrowdStrike 疑似也导致 Debian 和 Rocky Linux 出现问题。
Linux 内核恐慌和 Windows 蓝屏死机大致可相提并论。内核恐慌情况在 Windows 蓝屏死机发生的数周前就发生了。CrowdStrike 公司并未就此置评。
逻辑错误是罪魁祸首
CrowdStrike 公司表示,在2024年7月19日推送的一个例行传感器配置更新触发逻辑错误,从而导致全球计算机系统蓝屏死机。
该公司提到已经通过更新 Channel File 291的方式修正了该逻辑错误,除此以外并未做出任何其它修改。Falcon 仍在评估和防御 named 管道的滥用。目前该公司仍在分析该逻辑错误如何产生。CISA表示将与各方一起评估影响并提供修复支持。
恢复工具已推出
CrowdStrike 在上周日透露称将推出快速恢复工具,加速受影响系统的修复速度。有研究人员分析预测,全球约850万台 Windows 机器受影响。
微软也推出了一款从可启动 USB 存储设备运行的修复工具,并提供了相关使用指南。该公司在上周日修改了这些指令,要求完全擦除USB设备,“使其用于恢复过程时不会出错退出。”该工具已发布在https://go.microsoft.com/fwlink/?linkid=2280386。要使用微软的恢复工具,IT员工需要一台至少具有8GB空间的64位客户端,在该设备上的管理员权限,至少1GB存储空间的USB驱动以及Bitlocker恢复密钥(如需)。值得注意的是,需要32GB或以下的 USB 闪存驱动,以免无法通过 FAT 32进行格式化,而这是启动驱动所必须的。该恢复工具通过从微软下载的一个 PowerShell 脚本而创建,需要以管理员权限运行。在运行时它将格式化 USB 驱动并创建自定义的 WinPE 镜像,之后被复制到驱动并使其可启动。该批量脚本将提示用户输入必要的 Bitlocker 恢复密钥。之后将在文件夹C:\Windows\system32\drivers\CrowdStrike中查找 CrowdStrike 内核驱动,如检测到则会自动删除。测试发现,该批量文件将不会创建 CrowdStrike 驱动的日志或脚本。脚本运行完成后,将提示用户按下任何键,设备就会重启。驱动删除后,设备应该会返回 Windows 并可用。不过 Windows 管理员的最大障碍是检索任何所需的 Bitlocker 恢复密钥。因此,判断是否需要这些密钥以及如何恢复应该是尝试恢复设备的第一步。
CrowdStrike 公司发布了该事件的技术详情,还提供了如何恢复通过 BitLocker 加密的 Windows 机器。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
关于CrowdStrike 使 Windows 蓝屏死机,你需要知道的都在这里
NSS 实验室以反托拉斯名义起诉赛门铁克 CrowdStrike 等巨头
原文链接
https://www.theregister.com/2024/07/21/crowdstrike\_linux\_crashes\_restoration\_tools/
https://www.securityweek.com/crowdstrike-says-logic-error-caused-windows-bsod-chaos/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
