Source: The Verge
在纽约时间周五午夜后不久,全球范围内开始出现灾难。澳大利亚的购物者在自助结账处看到蓝屏死机消息。英国的Sky News在服务器和PC崩溃后暂停了播出。香港和印度的机场值机柜台开始失灵。纽约时间早晨来临时,数百万Windows计算机崩溃,一场全球技术灾难正在发生。故障初期,人们对正在发生的事情感到困惑。为什么那么多Windows机器突然出现蓝屏崩溃画面?澳大利亚网络安全专家Troy Hunt在X上发帖写道,“有非常奇怪的事情正在发生。在Reddit上,IT管理员在一个名为“最新CrowdStrike更新的BSOD错误”帖子中发出警报,该帖子已经超过2万个回复。这些问题导致美国主要航空公司停飞飞机,欧洲各银行、医院和其他主要机构的工作人员无法登录系统。很快就显而易见,这一切都是由一个小文件引起的。7月19日凌晨12:09,网络安全公司CrowdStrike发布了一次错误更新,该公司出售该更新以帮助公司防止恶意软件、勒索软件和其他网络威胁影响其机器。CrowdStrike的更新应该是类似于其他静默更新,自动为客户提供最新保护措施的微小文件(仅40KB),这些文件通过网络分发。CrowdStrike经常发布这些更新而不会发生问题,对于安全软件来说,这是相当常见的。但是这次是不同的。它暴露了该公司网络安全产品中的一个严重缺陷,这是一场只有一次错误更新才会发生的灾难,而且这个问题本可以很容易地避免。CrowdStrike的Falcon保护软件在Windows的核心级别运行,这是操作系统的核心部分,具有对系统内存和硬件的无限制访问权限。大多数其他应用程序以用户模式级别运行,并且不需要或不会获得内核的特殊访问权限。
CrowdStrike的Falcon软件使用特殊的驱动程序,使其可以在比大多数应用程序更低级别运行,以便检测Windows系统中的威胁。在内核级别运行使CrowdStrike的软件作为一道防线更强大,但也更有可能引发问题。这可能会非常麻烦,因为当出现格式错误的更新或数据在何处存在某些变形时,驱动程序可能会摄取这些数据,并盲目地信任这些数据,”DoubleYou的首席执行官兼Objective-See基金会的创始人Patrick Wardle告诉The Verge。内核访问使驱动程序能够创建内存损坏问题,这就是周五早上发生的事情。导致崩溃的地方是在尝试访问一些无效内存的指令处,”Wardle说。如果你在内核中运行并尝试访问无效内存,系统将崩溃。CrowdStrike很快发现了问题,但损害已经造成。原始更新发布后78分钟,公司发布了修复程序。IT管理员试图一遍又一遍地重启机器,并在CrowdStrike的驱动程序将服务器或PC关机之前,如果网络获取了更新,则可以将一些机器重新上线,但对于许多支持人员来说,解决方案包括手动访问受影响的机器并删除CrowdStrike的错误内容更新。虽然对CrowdStrike事件的调查仍在继续,但目前的主要理论是驱动程序中可能存在Bug,这些Bug可能已经潜伏了一段时间。它可能没有正确验证来自内容更新文件的数据,但直到周五的问题内容更新出现之前都没有问题。驱动程序可能应该更新以进行额外的错误检查,以确保即使将来推送了有问题的配置,驱动程序也会具有用于检查和检测的防御措施...而不是盲目地执行并崩溃。Wardle说。如果不久之后我们没有看到有额外健全性检查和错误检查的驱动程序的新版本,我会感到惊讶的。CrowdStrike应该更早发现这个问题。在向整个用户群推送更新之前逐步推出更新,让开发人员在更新到达其整个用户群之前测试任何主要问题,这是一个非常常见的做法。如果CrowdStrike对其内容更新进行了适当的测试,并选择了一小组用户,那么周五将会是一个警钟,提醒他们修复底层驱动程序问题,而不是跨越全球的技术灾难。
虽然微软并未导致周五的灾难,但Windows的运行方式使整个操作系统倒下。自上世纪90年代以来,广泛使用的蓝屏死机消息和Windows错误是如此紧密相关,以至于许多头条新闻最初都是“微软停机故障”,直到清楚CrowdStrike才是罪魁祸首。现在,人们不可避免地会对如何防止未来发生另一场CrowdStrike事件产生疑问;而这个答案只能来自微软。尽管微软并没有直接涉案,但仍然控制着Windows的使用体验,在Windows处理此类问题方面还有很大的改进空间。简单来说,Windows可以禁用有问题的驱动程序。如果Windows发现某个驱动程序在启动时导致系统崩溃并强制进入恢复模式,微软可以构建更智能的逻辑,以允许系统在多次启动失败后在没有有问题驱动程序的情况下启动。但更大的变化将是限制Windows内核访问,以防止第三方驱动程序导致整台计算机崩溃。讽刺的是,微软试图在2006年的Windows Vista中使用受到第三方反对的PatchGuard功能来实现这一点,限制第三方访问内核。当时的两大杀毒软件公司McAfee和Symantec反对微软的更改,Symantec甚至向欧洲委员会投诉。微软最终让步,再次允许安全厂商访问内核以进行安全监视。最终,苹果于2020年锁定了其macOS操作系统,使开发人员无法再访问内核。苹果停止使用第三方内核扩展绝对是正确的决定,”Wardle表示。但实现这一目标的道路上充满了问题。苹果存在一些内核错误,使运行在用户模式下的安全工具仍然可能触发崩溃(内核恐慌),Wardle说,“也存在一些特权执行漏洞,还有一些其他漏洞可能允许Mac上的安全工具被恶意软件卸载。监管压力可能仍在阻止微软采取行动。《华尔街日报》周末报道称,“微软一名发言人表示,基于其与欧盟达成的某项理解,它无法象苹果那样将操作系统与世隔绝,因为欧盟曾对此提出抱怨。
报纸对匿名发言人进行了解释,并提到了2009年与欧盟达成的一项协议,该协议是一项“公共承诺”,允许开发人员获得技术文档的访问权限,以便在Windows上构建应用程序。协议是作为一项协议的一部分形成的,其中包括在Windows中实施浏览器选择屏幕,并提供不捆绑Internet Explorer的特殊版本的Windows。强制微软提供浏览器选择的协议五年后在2014年结束,微软也停止生产其专为欧洲定制的Windows版本。微软现在将Edge浏览器捆绑到了Windows 11中,并且无人挑战。目前尚不清楚这项互操作性协议持续了多久,但欧盟委员会似乎不认为这阻碍了微软进行Windows安全性的全面改革。微软可以自行决定其商业模式,调整其安全基础设施以应对威胁,前提是在符合欧盟竞争法的前提下进行,”欧盟委员会发言人Lea Zuber在向The Verge发表的声明中说。无论是最近的事件还是之前,微软从未向委员会提及过安全问题。微软可以尝试效仿苹果,但来自像CrowdStrike这样的安全厂商的反对将是强烈的。与苹果不同,微软也与CrowdStrike等保护Windows的其他安全厂商竞争。微软拥有自己的Defender for Endpoint付费服务,为Windows机器提供类似的保护。CrowdStrike首席执行官George Kurtz经常批评微软及其安全记录,并自豪地宣称从微软自己的安全软件那里赢得了客户。微软在最近几年曾有一系列安全失误,因此对手能够轻松有效地利用这些来销售替代产品。每当微软试图以安全为名锁定Windows系统时,就会面临抵制。Windows 10中的特殊模式将机器限制为Windows商店应用程序,以避免恶意软件,结果这一举措令人困惑且不受欢迎。微软也在Windows 11发布时留下了数百万台计算机,其硬件要求旨在提高Windows PC的安全性。Cloudflare首席执行官Matthew Prince已经在警告有关微软限制Wi的“评论”影响。
如何在保持系统安全性的同时避免全球性灾难?或许它只能从微软这里找到答案。
