Crowdstrike更新错误致Windows宕机,如何看待后续影响?
稀土掘金
发表于 2024-7-22 16:17:48
215
0
0
本次事件或将导致CrowdStrike面临一定经济损失,以及更加严重的声誉损失,或将引起CrowdStrike现有及潜在客户重新考虑合作关系,CrowdStrike的主要竞争对手或将因此受益。
▍事件描述:端点安全厂商CrowdStrike配置更新引起部分Windows系统崩溃。
UTC时间2024年7月19日4点左右(北京时间12点左右),端点安全厂商CrowdStrike发布的一项有误的Falcon Sensor(用于监控PC/虚拟机操作系统活动的Agent,旨在检测和阻止潜在的威胁)更新导致全球范围内安装该Agent的Windows系统大规模宕机,全球数百万台PC/服务器/虚拟机因“蓝屏死机”(BSOD)错误而离线。由于CrowdStrike是全球头部端点安全产品供应商,而全球主流的PC均搭载Windows系统,这次错误更新导致银行、航空公司、超市和电视广播公司等都受到影响,包括影响航空指挥系统导致航司停飞/迫降,影响订票/检票/结算系统导致各类线下服务场景无法正常运行,甚至部分工厂的生产流程也受到影响,是近年来波及范围最广的一次IT事故。
▍事件原因:Falcon Sensor通道文件更新引发逻辑错误,导致操作系统崩溃。
根据CrowdStrike官网技术博客内容,UTC时间2024年7月19日04:09,CrowdStrike向Windows系统发布了Falcon Sensor配置更新,该配置更新是导致系统崩溃的核心原因,与任何网络攻击无关。CrowdStrike表示,更新的配置文件被称为“通道文件”,是Falcon Sensor行为保护机制的一部分。对通道文件的更新是Falcon Sensor运行的正常环节,CrowdStrike每天都会根据发现的新战术、技术和策略进行多次更新。本次受影响的通道文件是291,其文件名以" C-00000291- "开头,以.sys扩展名结尾。通道文件291用于评估命名管道在Windows系统中的执行情况(命名管道在Windows系统中用于进程间或系统间通信),本次更新旨在针对新近观察到的恶意命名管道,但配置更新引发了逻辑错误,导致操作系统崩溃。
▍补救手段:配置错误已经修复,但宕机问题需要逐步解决。
根据官网技术博客内容,导致Windows系统崩溃的配置更新已于UTC时间7月19日05:27修复。公司表示,本次影响不涉及Linux和macOS主机,在UTC时间05:27之后上线的Windows主机也不受影响。对于已经波及到的主机,公司给出不同情况下的解决方案:1)优先在有线网络(而不是WiFi)环境下重启主机,使其有机会下载恢复的通道文件。2)如果重启后系统仍然崩溃,则需要将Windows引导至安全模式或Windows恢复环境,导航至操作系统卷的CrowdStrike目录,找到通道文件291并将其删除,然后再从关闭状态启动主机。3)对于使用BitLocker加密的主机,通常要求在进入安全模式时输入恢复密钥以确保系统安全,在公有云或者虚拟环境下,用户可以通过自动化脚本的方式实现批量恢复。但对于物理服务器或者PC设备,只能通过IT管理员手动输入的方式实现恢复,恢复周期会更长。综上,我们判断部分主机能够快速恢复,而全面解决则需要数天时间。
▍后续影响:CrowdStrike或将面临经济和声誉损失,端点安全市场格局亦有可能发生变化。
根据微软官网消息,本次受到影响的Windows主机数量约850万台,这占CrowdStrike服务端点数约20%。按照软件公司合同签署的惯例,通常不需要赔偿客户直接经济损失。但合同中一般设置有服务级别协议(SLA),要求服务可用时间以及响应、解决时间等,如果CrowdStrike未能达到相关要求,则需要向客户提供一定补偿,或是提供SLA 积分以抵扣未来的服务费用。与此同时,公司也需要增加公关/品牌/修复相关开支,并承担声誉和品牌形象的损失。尽管宕机事件本身并非孤例,AWS、Azure、Atlassian(2022年4月)和Datadog(2023年3月)都引起过类似事件。但考虑到本次事件波及范围过大,我们认为相关损害亦将更为严重。这次事件过后,或将引起CrowdStrike现有及潜在客户重新考虑合作关系,CrowdStrike的主要竞争对手或将因此受益。
▍风险因素:
原油价格上行导致欧美高通胀进一步失控风险;美债利率快速上行风险;针对科技巨头的政策监管持续收紧风险;全球宏观经济复苏不及预期风险;宏观经济波动导致欧美企业IT支出不及预期风险;安全平台化演进不及预期风险;全球云计算市场发展不及预期风险;云计算企业数据泄露、信息安全风险;行业竞争持续加剧风险等。
▍投资策略:
CrowdStrike配置更新错误引起850万台Windows主机系统崩溃,严重影响了全球重要行业的业务运作(如航司/机场、火车、广播公司、医院、金融机构、政府机构等),导致航班停飞、医疗程序取消/中断以及媒体停播等重大影响。目前,相关配置错误已经修复,而全面解决则需要数天时间。本次事件或将导致CrowdStrike面临一定经济损失,以及更加严重的声誉损失,或将引起CrowdStrike现有及潜在客户重新考虑合作关系,CrowdStrike的主要竞争对手或将因此受益。
CandyLake.com 系信息发布平台,仅提供信息存储空间服务。
声明:该文观点仅代表作者本人,本文不代表CandyLake.com立场,且不构成建议,请谨慎对待。
声明:该文观点仅代表作者本人,本文不代表CandyLake.com立场,且不构成建议,请谨慎对待。
猜你喜欢
- How do you view the subsequent impact of Crowdstrike update error causing Windows to crash?
- CrowdstrikeアップデートエラーによるWindowsのダウンタイム、その後の影響をどう見るか?
- Crowdstrike 업데이트 오류로 Windows가 다운되었는데, 그 이후의 영향은 어떻게 보십니까?
- CrowdStrike因严重软件中断被股东起诉
- CrowdStrike sued by shareholders for severe software disruption
- CrowdStrike、深刻なソフトウェア中断で株主に訴えられる
- CrowdStrike는 심각한 소프트웨어 중단으로 주주들에게 소송을 당했습니다.
- CrowdStrike第二财季净利润大幅增至4669万美元
- 美联储降息时刻今夜到来!华尔街经济学家:将开启美元贬值时代
- 名创入主永辉股价大跌,叶国富又一次零售冒险还是投资抄底?
-
知名做空机构香橼研究(Citron Research)周四(11月21日)在社交媒体平台X上发布消息称,该公司已决定做空“比特币大户”微策略(Microstrategy)这家公司,并认为该公司已经将自己变身成为一家比特币投资基金 ...
- caffycat
- 7 小时前
- 支持
- 反对
- 回复
- 收藏
-
每经AI快讯,11月20日,文远知行宣布旗下自动驾驶环卫车S6与无人扫路机S1分别在新加坡滨海湾海岸大道与滨海艺术中心正式投入运营。据介绍,这是新加坡首个商业化运营的自动驾驶环卫项目。 ...
- star8699
- 前天 19:48
- 支持
- 反对
- 回复
- 收藏
-
上证报中国证券网讯(记者王子霖)11月20日,斗鱼发布2024年第三季度未经审计的财务报告。本季度斗鱼依托丰富的游戏内容生态,充分发挥主播资源和新业务潜力,持续为用户提供高质量的直播内容及游戏服务,进一步 ...
- goodfriendboy
- 前天 20:09
- 支持
- 反对
- 回复
- 收藏
-
人民网北京11月22日电 (记者栗翘楚、任妍)2024广州车展,在新能源汽车占据“半壁江山”的同时,正加速向智能网联新能源汽车全面过渡,随着“端到端”成为新宠,智能驾驶解决方案成为本届广州车展各大车企竞 ...
- 3233340
- 1 小时前
- 支持
- 反对
- 回复
- 收藏