导语:2024年7月19日下午2点左右,大量外资企业和机构的Windows 机器出现蓝屏死机(BSOD)问题,受影响的机器会自动蓝屏,并且无法通过重启解决问题。
0x01 事件背景
2024年7月19日下午2点左右,大量外资企业和机构的Windows 机器出现蓝屏死机(BSOD)问题,受影响的机器会自动蓝屏,并且无法通过重启解决问题。
在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件,其中不乏包括国外知名的机构和单位,包括:
美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。
Microsoft 365订阅服务对于部分用户而言已无法使用,其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。
英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。
日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况,不得已取消多条线路。
澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。
印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞,航班运营因此中断。
新加坡樟宜机场受蓝屏事件影响无法正常运营。
中国上海多家外企受到影响,环球影城和迪士尼受影响无法正常结算
本次事件主要影响的是国外机构与国内外资企业,有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内,微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今,必将在互联网历史上留下深刻的痕迹。
PS:很难想象当今社会能有某个网络安全事件能盖过娱乐新闻霸榜热搜。
0x02 事件原因
针对此事,微软发言人最新回应称,Windows设备出现问题是第三方软件平台更新造成的,并且已经为此事件推出对应的解决方案。这次大规模的Windows10蓝屏死机故障原因在于安全软件公司Crowdstrike,其Falcon Sensor安全产品的更新导致了Windows电脑蓝屏现象。该公司是位于美国加利福尼亚州森尼韦尔的电脑安全技术公司,提供端点安全、情报威胁和网络攻击的安全服务。
19日下午17时45分,CrowdStrike创始人兼CEO George Kurtz在社交媒体X上回应称:CrowdStrike正积极与受Windows主机单次内容更新中发现缺陷影响的客户合作。Mac和Linux主机不受影响。这不是安全事件或网络攻击,同时微软方面坚决否认此次蓝屏事件与俄罗斯军事方面有关系。
从事件的原因也不难看出为什么这次国内的主机几乎没有受影响,其本质原因在于国内单位几乎没有使用Crowdstrike公司的安全产品,从而幸运的免于受此事件影响。
0x03 思考
与历史上出现的蓝屏事件不同,此次蓝屏事件本质上不是由于网络攻击造成的,实质上是由于软件公司对所提供的产品更新异常导致。但是从中也可以看出Windows操作系统在当前世界互联网中所占有的举足轻重的地位。
从DayDayMap全球互联网资产测绘平台(www.daydaymap.com)的数据中可以看出,互联网范围内主流的操作系统还是以windows和linux为主,其中Windows具有较大的用户使用量。
在使用Windows操作系统的国家中,中国的用户使用数量较多,中国基于Windows机器的资产基本上占了实际总资产数的接近60%。
从上面的数据可以看出,如果某个Windows操作系统层面的漏洞被别有用心的攻击者控制,将对国家安全造成严重的安全隐患。当前中美关系紧张,如果由美国控制的微软公司在Windows操作系统的升级程序中植入恶意程序,一方面可以窃取大量国内单位的敏感信息,另一方面也可以对关基设施进行毁瘫,其造成的安全隐患会非常巨大,对供应链安全来说也提出了新的挑战。
本次微软蓝屏事件虽然不是由网络攻击造成的,但是Windows操作系统潜在的破坏性仍然值得相关单位警惕。我们很难保证在特殊时刻美国不会把Windows作为攻击我国的武器,对我国敏感设施进行网络攻击。由此可见,国家发展具有国家自主知识产权的信创产品(包括国产化操作系统、数据库、中间件等)是具有长远战略意义的。
0x04 修复
CrowdStrike官方的解决方案是删除该公司驱动程序,最终使得驱动程序失效。具体操作为,建议受影响的用户将电脑启动到安全模式或恢复环境,导航至C:\Windows\System32\drivers\CrowdStrike目录,找到与“C-00000291*.sys”匹配的文件并将其删除,即可正常启动电脑。
如若转载,请注明原文地址