ITCOW牛新网 7月29日消息,近期,全球范围内的Windows用户遭遇了一场由安全软件公司CrowdStrike更新引发的技术危机。这场危机导致大量Windows系统出现蓝屏死机现象,严重影响了用户的正常使用。事后微软与CrowdStrike合作,迅速响应,共同寻找解决方案。
此次事件的起因是CrowdStrike的一个软件更新包中存在缺陷,导致其CSagent驱动程序在执行过程中发生了越界读取访问冲突,从而触发了系统的蓝屏保护机制。CrowdStrike已经发布了初步的事故后审查报告,详细说明了问题的根源,并提供了相应的修复措施。
据ITCOW牛新网了解,微软也对此次事件进行了深入分析,并在博客文章中详细解释了CrowdStrike驱动程序导致系统崩溃的具体原因。微软的技术分析显示,CSagent.sys模块作为文件系统过滤器驱动程序,其设计初衷是用于监控文件操作,以便安全软件能够及时扫描新文件。然而,此次更新中的一个错误导致了内存安全问题,进而引发了系统崩溃。
微软在博客中进一步阐述了为何需要为安全产品提供内核级访问权限。微软指出,内核驱动程序能够提供系统范围内的可见性,并在启动过程中早期加载,以便检测潜在的威胁。此外,内核驱动程序还能为高吞吐量的网络活动提供更好的性能,并确保安全软件在面对恶意软件攻击时不会被轻易禁用。
尽管内核驱动程序带来了诸多好处,但它们也增加了系统的安全风险。微软正在努力将一些复杂的Windows核心服务从内核模式迁移到用户模式,以降低风险。微软建议安全解决方案提供商在可视性和防篡改需求与内核模式操作风险之间找到平衡点。
为了提高系统的安全性和可靠性,微软计划通过微软病毒计划(MVI)与反恶意软件生态系统合作,利用Windows内置的安全功能,进一步增强系统的防护能力。微软还计划提供安全部署指南和最佳实践,减少内核驱动程序访问重要安全数据的需求,并利用最新的技术如VBS孤岛提供增强的隔离和防篡改功能。
截至7月25日,受影响的Windows电脑已有超过97%恢复了正常运行。微软Windows程序管理副总裁John Cable在博客文章中强调,Windows必须优先考虑端到端的弹性变化和创新,以满足客户的期望。
附微软关于此次蓝屏事件技术分析原文链接:点击查看