网络安全提供商 CrowdStrike 的一次错误更新导致数千台 PC 和服务器因蓝屏死机 (BSOD) 错误而离线,世界各地的 IT 管理员都在忙着修复 Windows 计算机的一个重大问题。
虽然 CrowdStrike 已经修复了最初导致问题的更新,但许多系统仍处于离线状态,银行、航空公司、超市和电视广播公司在没有机器的情况下苦苦挣扎。
Crowdstrike发布了一个错误的Windows更新。该修补程序在内核模式下运行,以在低级别监视系统活动。因为它是在内核模式下运行的,错误代码试图访问一个无效的内存位置,从而引发了蓝屏。
错误更新的驱动程序文件的名称是“C-00000291.sys”,删除它可以修复问题,不幸的是,这需要手动完成。微软与此次大面积宕机无关。
对于许多人来说,修复并不容易。IT 管理员仍在尝试使用 CrowdStrike 提供的初始解决方法,其中包括将 Windows 系统启动到安全模式并删除系统文件:
- 将 Windows 启动到安全模式或 Windows 恢复环境
- 导航到 C:WindowsSystem32driversCrowdStrike 目录
- 找到匹配“C-00000291*.sys”的文件并将其删除
- 启动主机
这些步骤强制 Windows 启动到安全模式环境,在该环境中,第三方驱动程序(如 CrowdStrike 的内核级驱动程序)无法加载。然后,IT 管理员必须在磁盘上找到故障驱动程序并将其删除。在大多数情况下,此解决方法需要物理访问机器。在某些环境中,BitLocker 等磁盘加密甚至缺乏管理员权限可能会使删除故障驱动程序变得复杂。
CrowdStrike是一家总部位于美国加利福尼亚州的网络安全公司,成立于2011年,致力于提供基于云计算的端点保护解决方案。其主要产品是CrowdStrike Falcon平台,该平台利用人工智能和机器学习技术来检测、预防和响应网络威胁。
CrowdStrike的Falcon平台可以与微软的安全产品集成,如Microsoft Azure和Microsoft 365,以增强整体网络安全防护能力。
网友:
1、真是一团糟,哈哈,我现在一点也不羡慕任何 IT/支持人员。我住的地方现在是午夜,但我女朋友的公司将在一片火海中醒来,他们有数百甚至数千名员工在远离总部的家乡工作。笔记本电脑卡在启动循环中,而且它们都是 BitLocker。
对于 IT 来说这将是一个地狱般的周末哈哈哈
2、太平洋标准时间 10:57 时,共计 210K BSODS…并且数量持续增加…这很糟糕…
最终总共有大约 170k 台设备(许多设备有多个),但并非所有设备都报告了崩溃(Nexthink FTW)。许多设备都恢复了,但看起来大约有 16k 台设备完全瘫痪……不包括需要手动启动到安全模式才能修复的几千台服务器。
凌晨 3 点,300 人正在为这场危机拼尽全力……上帝保佑那些沉睡的支持技术人员,他们不知道今天要做什么
3、我们正在治疗一名心脏病患者,但整个急诊科都瘫痪了。我们州的 911 也瘫痪了。由于其他附近医院瘫痪,人们无处可去。很难想象这一次糟糕的更新造成了数百万甚至数十亿美元的损失。
4、昨晚我妈妈因为中风症状被送进急诊室,并接受了 MRI 检查。MRI 图像无法发送给场外放射科医生,他们不得不进来——结果发现 MRI 输出根本不起作用。
医生半夜让我们出院,护士直到凌晨 4 点才来到检查室通知我们。我无法想象这造成了多大的混乱。
5、Crowdstrike 安装在医院的每台机器上,因为几年前医院和医疗中心成为勒索软件的主要目标。这迫使医疗中心购买保险以防业务损失并恢复数据。为公司提供勒索软件保险的保险公司坚持在每台机器上安装基于主机的安全系统,否则他们不会承担损失。因此,Crowdstrike(或其竞争对手之一)必须在每台机器上运行。
6、看起来crowdstrike问题是一个解引用的空指针,它试图使用’mov r9 d,dward ptr r[8]'汇编操作访问空内存。
7、埃隆 马斯克 宣布:我们已经从所有系统中删除了Crowdstrike。
8、更糟糕是,CrowdStrike可以访问世界上几乎所有的系统或者航空公司在Windows服务器上运行的系统的内核
C++ 必须变得更安全 : https://www.jdon.com/74567.html
