V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lxdlam
V2EX  ›  分享发现

CrowdStrike 官方技术复盘报告出来了

  •  1
     
  •   lxdlam · 125 天前 · 4136 次点击
    这是一个创建于 125 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.crowdstrike.com/blog/technical-details-on-todays-outage/

    根据原文说法,有两个细节:

    1. C-00000291-*.sys 文件不是系统驱动,而是配置文件,这次是因为配置文件下发失误,触及到了 Falcon 内部的错误逻辑,导致的 BSOD ;
    2. 网上盛传的 null byte access 是错误的,根因不在这里。

    具体是否信这个说法,就交给股价判断吧。

    13 条回复    2024-07-22 05:47:33 +08:00
    HFX3389
        1
    HFX3389  
       125 天前
    **不是系统驱动**还放在%windir%\System32\drivers 里面啊...
    Biggoldfish
        2
    Biggoldfish  
       125 天前 via Android   ❤️ 2
    不用经过任何 qa/preprod 测试还能一键 roll out 到 100% traffic ,怎样的草台班子
    testonly
        3
    testonly  
       125 天前
    技术问题是肯定要解决的,
    但更加要检讨的是更新流程,他们现在都不知道以后要小范围推送,反馈没问题后再逐步扩大范围推送吗?
    要检讨的也不止是他们,包括微软,其他对操作系统有重大影响的软件的更新,也包括手机系统,不然这样的事只会陆续又来。
    SeaTac
        4
    SeaTac  
       125 天前 via iPhone
    > The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks.
    看着像是个比较小的 change ,一路 lgtm 就上 prod 了,只是没想到这次炸了
    nbndco
        5
    nbndco  
       125 天前
    @SeaTac 这就是流程有问题,test 肯定也没跑过,而且应该做 gradual rollout ,这都应该是自动化的东西,压根不需要人工介入的
    wanguorui123
        6
    wanguorui123  
       125 天前
    草台班子:rm -rf /
    dianso
        7
    dianso  
       125 天前   ❤️ 3
    我之前做的远控,类似灰鸽子
    就是把一些信息用 sys 后缀名放到 drives 目录。
    没想到啊
    lloovve
        8
    lloovve  
       125 天前 via iPhone
    “客户你好,我们复盘了,我们知道问题了”
    GeekGao
        9
    GeekGao  
       125 天前   ❤️ 1
    @HFX3389 典型的 hack 技巧,以前( 20 年前)很多木马为了隐藏一些配置或者 payload ,也这么干。
    maladaxia
        10
    maladaxia  
       125 天前
    @Biggoldfish 你怎么知道是 100%traffic, 也许 10%呢
    drymonfidelia
        11
    drymonfidelia  
       125 天前 via iPhone
    @maladaxia 就是 100%,我们全部合作客户都中了
    zhairuo
        12
    zhairuo  
       125 天前
    The entire sum of everything that Crowdstrike might ever have prevented is probably less than the damage they just caused ,这次悲剧挺大的
    baobao1270
        13
    baobao1270  
       124 天前   ❤️ 1
    @Biggoldfish 这种类似病毒库特征的东西本来就要快速响应,roll out 100% 其实很正常,Cloudflare 当年也出过防御 XSS 的特征写错导致全球 outage 的事故。可不可以接受还是看 security 和 available 之间的 trade off 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2890 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 03:05 · PVG 11:05 · LAX 19:05 · JFK 22:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.