文章摘要
【关 键 词】 IT故障、达美航空、微软分析、内存安全、安全产品
7月19日,全球发生了史上最大规模的IT故障,对财富500强企业造成了高达54亿美元的损失。达美航空作为受影响最严重的航空公司,系统修复期间取消了2500多个航班。此外,一名83岁男子因航班取消而失踪。微软对此次由CrowdStrike导致的全球蓝屏事件进行了详尽分析,并发布了一份报告。
微软在报告中解释了现代安全产品需要使用内核模式驱动程序的原因,并指出Windows为第三方解决方案提供了安全措施。CrowdStrike将故障原因归结为内存安全问题,特别是CSagent驱动程序中的越界读取访问违规。微软利用Microsoft WinDBG内核调试器和免费扩展进行了分析,发现全球崩溃模式与CrowdStrike的解释一致。
然而,微软在分析中发现,CrowdStrike在内核模式下做了很多本可以在用户模式下完成的事情。这导致了一个NULL检查的存在,但由于使用Windows错误报告(WER)数据时,微软只能接收到压缩状态,因此无法反向反汇编查看更多指令。尽管如此,微软还是证实了CrowdStrike的分析是正确的,即CSagent.sys驱动程序中存在越界读取内存安全错误。
此外,微软还发现csagent.sys模块被注册为文件系统过滤驱动程序,通常被反恶意软件用来接收与文件操作有关的通知。安全软件会用它来扫描保存到磁盘的任何新文件。文件系统过滤器还可以作为监控系统行为的安全解决方案的信号。CrowdStrike在博客中指出,他们内容更新的一部分是更改传感器逻辑,以处理与命名管道创建相关的数据。
总的来说,这次IT故障给全球带来了巨大的损失,微软的分析报告揭示了CrowdStrike在内核模式下的一些不当操作。同时,报告也提醒了安全产品在设计时需要考虑的最佳实践,以避免类似的故障再次发生。
原文和模型
【原文链接】 阅读原文 [ 3494字 | 14分钟 ]
【原文作者】 新智元
【摘要模型】 moonshot-v1-32k
【摘要评分】 ★★★★★