This topic created in 654 days ago, the information mentioned may be changed or developed.
https://www.crowdstrike.com/blog/technical-details-on-todays-outage/
根据原文说法,有两个细节:
C-00000291-*.sys文件不是系统驱动,而是配置文件,这次是因为配置文件下发失误,触及到了 Falcon 内部的错误逻辑,导致的 BSOD ;
- 网上盛传的 null byte access 是错误的,根因不在这里。
具体是否信这个说法,就交给股价判断吧。
13 replies • 2024-07-22 05:47:33 +08:00
 |
1
HFX3389 Jul 20, 2024
**不是系统驱动**还放在%windir%\System32\drivers 里面啊...
|
 |
2
Biggoldfish Jul 20, 2024 via Android  2
不用经过任何 qa/preprod 测试还能一键 roll out 到 100% traffic ,怎样的草台班子
|
 |
3
I3tZ9NgHU44xmaA4 Jul 20, 2024
技术问题是肯定要解决的,
但更加要检讨的是更新流程,他们现在都不知道以后要小范围推送,反馈没问题后再逐步扩大范围推送吗? 要检讨的也不止是他们,包括微软,其他对操作系统有重大影响的软件的更新,也包括手机系统,不然这样的事只会陆续又来。 |
 |
4
AmericanExpress Jul 20, 2024 via iPhone
> The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks.
看着像是个比较小的 change ,一路 lgtm 就上 prod 了,只是没想到这次炸了 |
 |
6
wanguorui123 Jul 20, 2024
草台班子:rm -rf /
|
 |
7
dianso Jul 20, 2024 3
我之前做的远控,类似灰鸽子
就是把一些信息用 sys 后缀名放到 drives 目录。 没想到啊 |
 |
8
lloovve Jul 20, 2024 via iPhone
“客户你好,我们复盘了,我们知道问题了”
|
 |
9
R4rvZ6agNVWr56V0 Jul 20, 2024 1
@HFX3389 典型的 hack 技巧,以前( 20 年前)很多木马为了隐藏一些配置或者 payload ,也这么干。
|
 |
10
maladaxia Jul 20, 2024
@Biggoldfish 你怎么知道是 100%traffic, 也许 10%呢
|
 |
11
drymonfidelia Jul 20, 2024 via iPhone
@maladaxia 就是 100%,我们全部合作客户都中了
|
 |
12
zhairuo Jul 21, 2024
The entire sum of everything that Crowdstrike might ever have prevented is probably less than the damage they just caused ,这次悲剧挺大的
|
 |
13
baobao1270 Jul 22, 2024 1
@Biggoldfish 这种类似病毒库特征的东西本来就要快速响应,roll out 100% 其实很正常,Cloudflare 当年也出过防御 XSS 的特征写错导致全球 outage 的事故。可不可以接受还是看 security 和 available 之间的 trade off 。
|
Select Language