CrowdStrike 的例行更新導致美東時間七月十九日上午全球客戶的電腦系統崩潰,顯然在部署之前沒有經過充分的品質檢查。
軟體更新引發大規模技術中斷
最新版本的 Falcon Sensor 軟體通過更新防禦的威脅來使 CrowdStrike 客戶的系統更加安全。但更新文件中的錯誤代碼導致了近年來對使用微軟 Windows 操作系統的公司最廣泛的技術中斷之一。
全球銀行、航空公司、醫院和政府辦公室都受到影響。CrowdStrike 發布了修復受影響系統的訊息,但專家表示,恢復系統上線需要時間,因為需要手動排除錯誤代碼。
Security Scorecard 的首席安全官 Steve Cobb 表示:「看起來,可能是在他們審查代碼時,這個文件未被包括在內或意外通過了檢查。」
問題在週五更新推出後迅速顯現,用戶在社交媒體上發布了顯示錯誤訊息的藍屏電腦照片,這在業界被稱為『藍屏當機』。
專門研究操作系統威脅的安全研究員 Patrick Wardle 表示,他的分析確定了導致當機的代碼。問題出在『包含配置訊息或簽名的文件中』。這些簽名是用來檢測特定類型的惡意代碼或惡意軟體的代碼。
「安全產品非常常見每天更新簽名……因為他們不斷監測新出現的惡意軟體,並確保客戶受到最新威脅的保護。」他說。更新頻率「可能是(CrowdStrike)未充分測試的原因」。
尚不清楚這個錯誤代碼是如何進入更新中的,為何在發布給客戶之前未被發現。Huntress Labs 的首席安全研究員 John Hammond 表示:「理想情況下,這應該首先推送到一個有限的用戶池中。」這是一種更安全的方法,可以避免這樣的大規模故障。
歷史案例及 CrowdStrike 的市場地位
其他安全公司過去也有類似的事件。2010 年,McAfee 的有缺陷的防病毒更新使數十萬台電腦停滯不前。
但這次全球中斷的影響反映了 CrowdStrike 的市場主導地位。超過一半的《財富》500 強公司和許多政府機構,如美國最高的網路安全機構——網路安全和基礎設施安全局,都使用該公司的軟體。
