这是一个创建于 380 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.crowdstrike.com/blog/technical-details-on-todays-outage/
根据原文说法,有两个细节:
C-00000291-*.sys文件不是系统驱动,而是配置文件,这次是因为配置文件下发失误,触及到了 Falcon 内部的错误逻辑,导致的 BSOD ;
- 网上盛传的 null byte access 是错误的,根因不在这里。
具体是否信这个说法,就交给股价判断吧。
13 条回复 • 2024-07-22 05:47:33 +08:00
 |
1
HFX3389 2024-07-20 12:37:55 +08:00
**不是系统驱动**还放在%windir%\System32\drivers 里面啊...
|
 |
2
Biggoldfish 2024-07-20 12:42:34 +08:00 via Android  2
不用经过任何 qa/preprod 测试还能一键 roll out 到 100% traffic ,怎样的草台班子
|
 |
3
I3tZ9NgHU44xmaA4 2024-07-20 12:43:33 +08:00
技术问题是肯定要解决的,
但更加要检讨的是更新流程,他们现在都不知道以后要小范围推送,反馈没问题后再逐步扩大范围推送吗? 要检讨的也不止是他们,包括微软,其他对操作系统有重大影响的软件的更新,也包括手机系统,不然这样的事只会陆续又来。 |
 |
4
SeaTac 2024-07-20 13:03:12 +08:00 via iPhone
> The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks.
看着像是个比较小的 change ,一路 lgtm 就上 prod 了,只是没想到这次炸了 |
 |
5
nbndco 2024-07-20 13:42:51 +08:00
@SeaTac 这就是流程有问题,test 肯定也没跑过,而且应该做 gradual rollout ,这都应该是自动化的东西,压根不需要人工介入的
|
 |
6
wanguorui123 2024-07-20 13:56:34 +08:00
草台班子:rm -rf /
|
 |
7
dianso 2024-07-20 14:08:51 +08:00 3
我之前做的远控,类似灰鸽子
就是把一些信息用 sys 后缀名放到 drives 目录。 没想到啊 |
 |
8
lloovve 2024-07-20 14:12:21 +08:00 via iPhone
“客户你好,我们复盘了,我们知道问题了”
|
 |
9
R4rvZ6agNVWr56V0 2024-07-20 15:21:05 +08:00 1
@HFX3389 典型的 hack 技巧,以前( 20 年前)很多木马为了隐藏一些配置或者 payload ,也这么干。
|
 |
10
maladaxia 2024-07-20 17:53:58 +08:00
@Biggoldfish 你怎么知道是 100%traffic, 也许 10%呢
|
 |
11
drymonfidelia 2024-07-20 18:20:31 +08:00 via iPhone
@maladaxia 就是 100%,我们全部合作客户都中了
|
 |
12
zhairuo 2024-07-21 00:27:58 +08:00
The entire sum of everything that Crowdstrike might ever have prevented is probably less than the damage they just caused ,这次悲剧挺大的
|
 |
13
baobao1270 2024-07-22 05:47:33 +08:00 1
@Biggoldfish 这种类似病毒库特征的东西本来就要快速响应,roll out 100% 其实很正常,Cloudflare 当年也出过防御 XSS 的特征写错导致全球 outage 的事故。可不可以接受还是看 security 和 available 之间的 trade off 。
|
Select Language