CrowdStrike 官方技术复盘报告出来了

158 天前
 lxdlam

https://www.crowdstrike.com/blog/technical-details-on-todays-outage/

根据原文说法,有两个细节:

  1. C-00000291-*.sys 文件不是系统驱动,而是配置文件,这次是因为配置文件下发失误,触及到了 Falcon 内部的错误逻辑,导致的 BSOD ;
  2. 网上盛传的 null byte access 是错误的,根因不在这里。

具体是否信这个说法,就交给股价判断吧。

4187 次点击
所在节点    分享发现
13 条回复
HFX3389
158 天前
**不是系统驱动**还放在%windir%\System32\drivers 里面啊...
Biggoldfish
158 天前
不用经过任何 qa/preprod 测试还能一键 roll out 到 100% traffic ,怎样的草台班子
testonly
158 天前
技术问题是肯定要解决的,
但更加要检讨的是更新流程,他们现在都不知道以后要小范围推送,反馈没问题后再逐步扩大范围推送吗?
要检讨的也不止是他们,包括微软,其他对操作系统有重大影响的软件的更新,也包括手机系统,不然这样的事只会陆续又来。
SeaTac
158 天前
> The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks.
看着像是个比较小的 change ,一路 lgtm 就上 prod 了,只是没想到这次炸了
nbndco
158 天前
@SeaTac 这就是流程有问题,test 肯定也没跑过,而且应该做 gradual rollout ,这都应该是自动化的东西,压根不需要人工介入的
wanguorui123
158 天前
草台班子:rm -rf /
dianso
158 天前
我之前做的远控,类似灰鸽子
就是把一些信息用 sys 后缀名放到 drives 目录。
没想到啊
lloovve
158 天前
“客户你好,我们复盘了,我们知道问题了”
GeekGao
158 天前
@HFX3389 典型的 hack 技巧,以前( 20 年前)很多木马为了隐藏一些配置或者 payload ,也这么干。
maladaxia
158 天前
@Biggoldfish 你怎么知道是 100%traffic, 也许 10%呢
drymonfidelia
158 天前
@maladaxia 就是 100%,我们全部合作客户都中了
zhairuo
158 天前
The entire sum of everything that Crowdstrike might ever have prevented is probably less than the damage they just caused ,这次悲剧挺大的
baobao1270
157 天前
@Biggoldfish 这种类似病毒库特征的东西本来就要快速响应,roll out 100% 其实很正常,Cloudflare 当年也出过防御 XSS 的特征写错导致全球 outage 的事故。可不可以接受还是看 security 和 available 之间的 trade off 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1058771

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX