7月19日,微软在全球多地出现“蓝屏故障”,大量用户无法正常操作系统,其中不少出现了“csagent.sys”错误。其原因是美国网络安全服务提供商CrowdStrike更新错误所致。该事件影响到了世界各地的各种组织和服务,包括机场、电视台和医院等大型企业。
事发当天,大量用户反馈在安装 CrowdStrike Falcon Sensor 的最新更新后,Windows 主机陷入启动循环或显示蓝屏死机 (BSOD)。
该安全供应商承认了该问题,并发布了技术警报,解释称其工程师“发现了与此问题相关的内容部署并撤销了这些更改”。
CrowdStrike 的工程团队迅速应对了这一危机。根据该公司论坛上的一个置顶帖,该团队已确定与该问题相关的内容部署并恢复了这些更改。
CrowdStrike透露,罪魁祸首是一个通道文件,其中包含传感器的数据。由于它只是传感器更新的一个组件,因此可以单独解决此类文件,而无需删除 Falcon 传感器更新。
对于已经受到影响的用户,CrowdStrike 提供了以下解决方法:
1、将 Windows 启动到安全模式或 Windows 恢复环境
(1)重启你的电脑。
(2)当您的计算机重新启动时,按F8(或Shift + F8)打开高级启动选项菜单。
(3)选择Safe Mode并按 Enter。
2、删除相关文件
(1)导航到 C:\Windows\System32\drivers\CrowdStrike 目录。
(2)找到匹配“C-00000291*.sys”的文件,并将其删除。
3、重启电脑。
CrowdStrike 的首席执行官表示他们已经发布了修复程序,并建议客户下载最新更新。
CrowdStrike 首席执行官就故障更新导致 Windows 主机崩溃一事发表评论
在更新的声明中,CrowdStrike 表示“有问题的文件 [ C-00000291*.sys”,时间戳为 0409 UTC ] 已被恢复”,其正确版本是 C-00000291*.sys, 时间戳为 0527 UTC 或更新。
该公司还提供了两种解决云和虚拟环境中该问题的选项,一种是回滚到 UTC 04:09 之前的快照。第二种选择是以下七步程序:
1.从受影响的虚拟服务器中分离操作系统磁盘卷
2.在继续操作之前,请创建磁盘卷的快照或备份,以防发生意外更改
3.将卷附加/安装到新的虚拟服务器
4.导航到 %WINDIR%\System32\drivers\CrowdStrike 目录
5.找到匹配“C-00000291*.sys”的文件,并将其删除。
6.从新的虚拟服务器分离卷
7.将固定卷重新连接到受影响的虚拟服务器
对于此次微软蓝屏事件,奇安信安全专家汪列军表示:
CrowdStrike软件更新导致Windows计算机瘫痪的主要原因是其核心驱动csagent.sys出现了bug,导致操作系统无法正常启动,甚至出现蓝屏。这种情况与一般应用程序不同,因为安全软件的驱动操作涉及操作系统底层,一旦出现问题就会直接影响系统稳定性。
这一事件影响广泛,特别是在亚太地区(如日本)首先显现,但也在欧美等其他地区引起了不小的波及。影响范围主要集中在使用CrowdStrike的外企及其在中国的分支机构,以及部分国外的云计算环境,尤其是基于Windows的应用实例。
虽然事件影响了多个Windows版本,但具体影响的范围可能因技术细节而有所不同。此外,虽然有简单的修复方法,例如手动删除或重命名相关驱动文件,但由于涉及大量机器且无法集中管理,修复过程相对耗时复杂,需要逐台操作。
综上所述,这一事件显示了安全软件更新可能带来的系统性风险,尤其是对大规模部署的影响管理和应急响应能力提出了挑战。
参考及文献来源:
· https://gbhackers.com/crowdstrike-update-triggers-widespread/
· https://www.bleepingcomputer.com/news/security/crowdstrike-update-crashes-windows-systems-causes-outages-worldwide/
· 奇安信安全专家汪列军访谈解读。
