兩次全球藍屏，禍首竟是同一人？14年後，滅霸CEO再釀IT災難

新智元報道

編輯：Aeneas 好睏

【新智元導讀】絕了，外媒剛剛發現：這次造成微軟藍屏災難的CrowdStrike CEO，在Windows XP時代就曾搞崩過全球的設備。同樣是一次更新，同樣讓設備斷網，同樣要人工修復。兩次導致全球IT災難，此君可以「名垂青史」了。

微軟全球藍屏事件，破案了！

一個由「C-00000291*.sys」配置文件觸發的系統邏輯錯誤，瞬間就破壞掉全世界約10億臺計算機，並在隨後引發所有的二階、三階效應。

就如AI大神Karpathy所言，技術領域還存在着的單點瞬時故障，都將對人類社會造成巨大隱患。

而這次造成全球TI災難的始作俑者、CrowdStrike CEO，竟被外媒扒出已有前科——

2010年在McAfee用一個更新搞崩全球設備的，竟然也是他！

邏輯錯誤，觸發全球大崩潰

故障發生的第一時間，就有網友向大家發出警告——停止所有CrowdStrike更新！停止所有CrowdStrike更新！

對於事件起因，Objective-See基金會創始人Patrick Wardle也在第一時間就做了一番詳細調查。

首先，他查看了故障位置——mov r9d，[r8]。其中R8屬於未映射的地址。

這個位置取自指針數組（保存在RAX中），索引RDX（0x14 * 0x8）保存了一個無效的內存地址。

其他的「驅動程序」（例如「C-00000291-...32.sys」）似乎是混淆的數據，並且被「CSAgent.sys」進行了x-ref'd操作。

因此，或許是這種無效（配置/簽名）的數據，觸發了CSAgent.sys中的故障。

通過調試，可以更容易地判斷這一點。

顯然，事故中最重要的懸而未決的問題就是，這個「C-00000291-...xxx.sys」文件究竟是什麼？

CSAgent.sys一旦引用它們，就立馬崩潰了；而只要刪除它們，就可以修復崩潰。

在VT上，他還對CSAgent.sys以及來自單個故障轉儲的數據進行了逆向分析。

最後，Wardle分享出了CSAgent.sys的幾個版本（+idb），以及各種「C-....sys」文件（包括他認爲已經包含了「修復」的最新文件）。

他表示，由於自己沒有任何Windows系統或虛擬機，所以希望網友們能繼續挖掘。

就在昨天，惡意軟件專家Malware Utkonos有了更多細節的發現——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處，似乎有一個針對0xaaaaaaaa的文件魔法檢查。

這個模式，也是「通道文件」（Channel Files）的前四個字節。全部爲NULL的文件，就可能會導致該cmp失敗。

可以看到，rcx中與0xaaaaaaaa進行比較的值，由ExAllocatePoolWithTagPriority分配在頂部。那裡正是接收ZwReadFile讀取的數據的緩衝區。

這個值會在之後用cmp傳遞給函數（Utkonos在圖中將這些函數命名爲內部的wdm.h函數調用）。

通過合理性檢查可發現：0xaaaaaaaa字節模式僅在此處檢查的「通道文件」偏移0處出現過一次。

以下就是執行類似cmp的地址。

可以看到，只有0xaaaaaaaa看起來不同。

CrowdStrike官方解釋

很快，CrowdStrike在官博放出的解釋，對於網友們疑惑的問題進行了澄清——

報告地址：https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

其中技術細節如下——

在Windows系統中，通道文件位於以下目錄：C:\Windows\System32\drivers\CrowdStrike\，並且文件名以「C-」開頭。每個通道文件都有一個唯一編號作爲標識。

此次事件中受影響的通道文件爲291，文件名以「C-00000291-」開頭，以.sys擴展名結尾。雖然通道文件以SYS擴展名結尾，但它們不是內核驅動程序.

通道文件291會影響Falcon如何評估Windows系統上的命名管道執行。這些命名管道用於Windows中正常進程間或系統間通信的機制。

週五的更新，本意是針對網絡攻擊中常見的C2框架中所使用的新發現的惡意命名管道，但實際上卻觸發了系統的邏輯錯誤，導致崩潰。

不過，這與通道文件291或任何其他通道文件中的空字節問題無關。

此事已被網友用Suno做成歌曲

要想恢復，就必須在安全模式下啓動機器，並且以本地管理員身份登錄並刪除內容——這是不可能自動化的。

因此，這次癱瘓的打擊面纔會這麼大，並且難以恢復。

上次也是他

雖然CrowdStrike承認了自己的錯誤，並在週五發佈了道歉聲明和解決方案。

但他們尚未解釋清楚，這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。

自然，衆多批評的聲音開始集中到事件的核心人物：CrowdStrike的首席執行官George Kurtz。

科技行業分析師Anshel Sag指出，這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。

熟悉的配方，熟悉的味道

2010年4月21日，殺毒軟件McAfee發佈了一次面向企業客戶的軟件更新。

獲得更新後的軟件會刪除一個Windows系統的關鍵文件，導致全球數百萬臺電腦崩潰並反覆重啓。

和CrowdStrike的錯誤類似，McAfee的問題也需要手動修復（設備斷網離線）。

而Kurtz，正是當時McAfee的首席技術官。

2012年，Kurtz創立了CrowdStrike，並一直擔任首席執行官至今。

2010年，發生了什麼？

2010年4月21日早上6點，McAfee向企業客戶發佈了一個「有問題」的病毒定義更新。

然後，這些自動更新的Windows XP電腦，會直接陷入「無限重啓」的循環中，直到技術支持人員到場手動修復。

背後的原因其實很簡單——殺毒軟件在收到新的定義之後，會將一個常規的Windows二進制文件「svchost.exe」識別爲病毒「W32/Wecorl.a」，並予以銷燬。

一位大學IT人員報告稱，他的網絡上有1200臺電腦因此癱瘓。

另一封來自美國企業的電子郵件稱，他們有「數百名用戶」受到了影響：

此外，還有一份來自澳大利亞的報告稱，該國最大的超市連鎖店有10%的收銀機癱瘓，導致14到18家商店被迫關閉。

這件事在當時的影響之大，讓衆人紛紛驚歎：「即便是專注於開發病毒的黑客，估計都做不出能像McAfee今天這樣能迅速『端掉』這麼多機器的惡意軟件。」

以下是SANS Internet Storm Center對這次事件的描述：

Svchost.exe是Windows系統中最重要的文件之一，它承載了幾乎所有系統功能的服務。如果沒有Svchost.exe，Windows根本無法啓動。

兩起事件雖然相隔14年，但卻有着同樣的疑惑——這樣的更新是如何從測試實驗室流出並進入生產服務器的。理論上，這類問題應該在測試初期就被發現並解決了纔對。

何許人也？

George Kurtz在新澤西州的Parsippany-Troy Hills長大，就讀於Parsippany高中。

Kurtz表示，自己在四年級時就開始在Commodore電腦上編寫電子遊戲程序。高中時，建立了早期的網絡交流平臺——公告板系統。

他畢業於西東大學，獲得會計學學位。

隨後他創辦了Foundstone，並曾擔任McAfee的首席技術官。

目前，George Kurtz在與Dmitri Alperovitch共同創立的網絡安全公司CrowdStrike，擔任首席執行官。

除了商業成就外，他還是一名賽車手。

Price Waterhouse（普華永道）和 Foundstone

大學畢業後，Kurtz在Price Waterhouse開始了他的職業生涯，擔任註冊會計師（CPA）。

1993年，Price Waterhouse讓Kurtz成爲其新成立的安全組的首批員工之一。

1999年，他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》，這是一本針對網絡管理員的網絡安全書籍。該書銷量超過60萬冊，並被翻譯成30多種語言。

同年晚些時候，他創辦了一家網絡安全公司Foundstone，這是最早專門從事安全諮詢的公司之一。Foundstone專注於漏洞管理軟件和服務，並發展出了一個廣受認可的事件響應業務，許多財富100強公司都是其客戶。

McAfee

McAfee在2004年8月以8600萬美元收購了Foundstone，Kurtz因此成爲McAfee的高級副總裁兼風險管理總經理。在任期內，他幫助制定了公司的安全風險管理策略。

2009年10月，McAfee任命他爲全球首席技術官和執行副總裁。

隨着時間的推移，Kurtz對現有的安全技術運行緩慢感到沮喪，因爲他認爲這些技術沒有跟上新威脅的發展速度。

有一次，他在飛機上看到鄰座乘客等待15分鐘才讓McAfee軟件在筆記本電腦上加載完畢，這一事件成爲他創立CrowdStrike的靈感之一。

CrowdStrike

2011年11月，Kurtz加入私募股權公司Warburg Pincus，擔任「駐企企業家」（entrepreneur-in-residence），並開始着手他的下一個項目CrowdStrike。

2012年2月，他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手，正式成立了CrowdStrike。

CrowdStrike將重點從反惡意軟件和防病毒產品（McAfee的網絡安全方法）轉移到識別黑客使用的技術，以便發現即將到來的威脅。並開發了一種「雲優先」（cloud-first）模式，以減少客戶計算機上的軟件負擔。

2017年5月，CrowdStrike估值超過10億美元。2019年，公司在納斯達克首次公開募股6.12億美元，估值達到66億美元。

2020年7月，IDC報告將CrowdStrike評爲增長最快的端點安全軟件供應商。

2024年，Kurtz仍然是CrowdStrike的總裁兼首席執行官。

果然，世界就是個巨大的草臺班子。

參考資料：

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/