波及全球的微軟藍屏事件,至今還有25萬臺設備沒完全恢復!
另據(jù)估計,崩潰的設備多達850萬臺,到目前為止已經恢復了97%,雖然看似修復效率很高,但剩下的3%仍有25萬臺之多。
與此同時微軟也發(fā)布了一份全面調查報告,提供了根本原因的技術概述,解釋了為什么安全產品使用內核模式驅動程序,以及未來如何增強安全產品的可擴展性。
該事件影響范圍幾乎覆蓋全球,涉及了涵蓋航空公司、電視廣播、醫(yī)療機構、銀行金融等眾多行業(yè),甚至連奧運會也受到了影響。
僅在航空業(yè),就有5000多架次航班被迫取消,占了全球定期航線的4.6%,美國一家航空公司甚至連續(xù)三天都出現(xiàn)了航班取消的情況。
經濟損失也是數(shù)以十億計,據(jù)數(shù)據(jù)分析機構Parametrix的估計,單是對于財富500強企業(yè),這次事件帶來的損失就高達54億美元(約合391.8億人民幣)。
還有不法分子趁火打劫,冒充Crowdstrike的名義,假借發(fā)布“修復工具”之名,公然散播惡意軟件。
網絡安全專家Troy Hunt稱之為“史上最大規(guī)模的IT中斷事件”。
抓馬的是,Crowdstrike在此次事件之后,給幫助修復問題的員工和合作伙伴發(fā)放了10美元的外賣代金券作為感謝,結果被外賣平臺標記為了“欺詐”。
收到優(yōu)惠券的人在準備使用時發(fā)現(xiàn)券已被取消,導致Crowdstrike本已經受到巨大影響的口碑又進一步下滑。
微軟的調查報告,確認了Crowdstrike初步報告中提及的驅動文件正是造成此次事件的罪魁禍首。
進一步分析結果表明,該文件對內存的越界讀取,是導致事故的直接原因。
隨著研究的深入,第三方安全軟件到底該不該被授予了內核級的操作權限,也引發(fā)了廣泛討論。
核心原因:越權讀取內存
通過分析大量的崩潰報告,微軟發(fā)現(xiàn)這些記錄都指向了CrowdStrike的驅動程序csagent.sys。
通過調閱故障時系統(tǒng)留下的崩潰轉儲,微軟再現(xiàn)了崩潰發(fā)生時的場景——
首先查看崩潰線程的Trap Frame后,發(fā)現(xiàn)引發(fā)異常的指令是一條針對R8寄存器、指向內存的讀操作。
進一步觀察Trap Frame附近的指令,又發(fā)現(xiàn)在該讀操作之前,有一個對R8的空值檢查,檢查失敗才會繼續(xù)執(zhí)行后續(xù)的讀操作。
但是檢查R8指向的虛擬地址后,微軟發(fā)現(xiàn)它指向了一個非法地址,導致內核訪問違規(guī),從而引發(fā)了此次崩潰。
另外,Crowdstrike也解釋了流程層面的原因——在上線前的測試過程中,未能檢測到更新中的“有問題的內容數(shù)據(jù)”。
事件發(fā)生后,微軟和Crowdstrike都緊急應對,Crowdstrike發(fā)動了全部技術人員,微軟也派出了5000多名技術人員7×24小時應對此事。
經過兩家合作研究,主要得出了兩種該問題的解決方案——
第一種簡單粗暴,就是重啟,以便在錯誤的文件啟動之前獲取更新并將其覆蓋。
修復方案還提到,如果重啟一次不管用就多試幾次,按微軟的說法,最多可能要15次。
如果無法通過重啟獲取更新,微軟還提供了通過網絡或USB設備的啟動工具,以便能夠刪除問題文件。
針對后續(xù)工作,兩家也分別做出表態(tài):
微軟表示,將計劃與反惡意軟件生態(tài)系統(tǒng)合作,減少對內核驅動的依賴;
Crowdstrike則承諾,正在對其測試和部署流程進行更改,以防止類似情況再次發(fā)生。
該不該開放內核級操作?
引起此次崩潰的csagent.sys,正是一個內核級的驅動程序。
具體來說,csagent.sys被注冊為一個文件系統(tǒng)篩選驅動,用于接收文件操作事件。
所以在這次事件之后,到底應不應該把系統(tǒng)的內核級操作權限開放給第三方,也引發(fā)了廣泛討論。
在微軟的報告中,也解釋了一些使用內核驅動程序進行安全防御的原因:
可見性和執(zhí)行力:內核驅動可以全系統(tǒng)范圍內可見,并能夠在啟動早期加載,以檢測 bootkit和rootkit;
性能:某些高吞吐量的數(shù)據(jù)采集和分析場景,使用內核驅動可以帶來性能優(yōu)勢;
防篡改:即便管理員權限也難以禁用處于內核模式的驅動,因為Windows提供了早期加載(ELAM)等機制,讓驅動能盡早運行。
但同時微軟也指出,驅動運行在最高權限,一旦出問題難以隔離和恢復,因此驅動代碼必須經過嚴格測試。
不過在HackerNews上,網友們并不認同內核級別的運行方式,并指出蘋果和Linux早就禁用內核級操作,改為用戶級操作了。
按這位網友的說法,雖然直接原因是由Crowdstrike導致,但微軟不禁用內核操作給了問題程序運行的土壤,所以也難辭其咎。
其實微軟也不是沒試過禁用,甚至這次事件中的Crowdstrike,還是微軟的競爭對手。
但是其他網友指出,這是為了符合歐盟的監(jiān)管要求,因為微軟自己的安全軟件有內核級操作,所以公平起見,也得開放給第三方。
但這句話只說對了一半,歐盟并未要求微軟將內核操作開放給第三方,他們還可以選擇把自己的安全產品也移出內核。
當然,如果只從技術角度分析,網友們的觀點還是比較一致的,都認為內核級操作還是開放的越少越好。
微軟的報告中也提到,今后會聯(lián)合安全軟件生態(tài),盡可能減少內核操作對重要安全數(shù)據(jù)的訪問需要。
One More Thing
最后再說說直接造成此次事件的Crowdstrike。
實際上,這已經不是這家公司的Falcon程序第一次把操作系統(tǒng)搞崩了。
從今年四月開始到現(xiàn)在這四個月,F(xiàn)alcon每個月都會把操作系統(tǒng)搞崩一次。
前三次的受害者都是Linux內核的操作系統(tǒng),不過影響范圍和受關注程度都和這次事件無法相提并論:
4月19日晚,Crowdstrike發(fā)布了一個有缺陷的軟件更新,導致運行Debian 的計算機崩潰且無法正常重啟;
5月13日,安裝CrowdStrike軟件的服務器在升級到Rocky Linux 9.4后可能會凍結(freeze);
6月,Red Hat在啟動了Crowdstrike的falcon-sensor進程后,也觀察到了內核恐慌(Kernel Panic)。
原創(chuàng)文章,作者:潮玩君,如若轉載,請注明出處:http://www.bdzhitong.com/article/670595.html
