1、事件起因
2024年7月18日,一次由CrowdStrike发布的内容更新导致了许多运行Windows操作系统的设备出现蓝屏(BSOD)问题。这次更新主要影响了安装了CrowdStrike Falcon传感器的Windows设备。更新内容中包含的一个无效格式的.sys文件引发了核心驱动程序的崩溃,导致设备无法正常启动。
2、事件经过
CrowdStrike在发布更新后不久,全球各地的用户纷纷报告设备在启动时出现蓝屏错误,影响了大量企业和个人用户的日常工作。CrowdStrike的工程团队迅速识别了问题源头,并回滚了导致问题的内容更新。然而,由于问题的严重性,许多用户不得不手动介入以恢复系统。
3、最终解决方案
为了解决蓝屏问题,CrowdStrike发布了一系列手动恢复步骤,包括:
- 启动设备进入安全模式或Windows恢复环境。
- 导航到
C:\Windows\System32\drivers\CrowdStrike目录。 - 删除以“C-00000291”开头的.sys文件。
- 正常重启设备。
这些步骤帮助用户绕过了问题文件,恢复了设备的正常运行。
4、根本原因分析
从代码层面来看,这次事件的根本原因在于内容更新中的.sys文件格式错误。作为核心模式驱动程序的一部分,这些文件在加载过程中导致了内核级的崩溃。由于安全软件通常需要在操作系统的最低层进行监控,这类问题很容易引发严重的系统错误。CrowdStrike在更新发布前未能充分测试新内容,直接导致了此次大规模的蓝屏事件。
5、CrowdStrike公司概况
公司背景
CrowdStrike Holdings, Inc. 是一家总部位于美国德克萨斯州奥斯汀的网络安全技术公司,成立于2011年。CrowdStrike主要提供端点保护、云工作负载保护、威胁情报和网络攻击响应服务。该公司的旗舰产品是Falcon平台,通过一个统一的界面提供企业级威胁检测和响应能力。
发展历程
CrowdStrike在多轮融资中获得了多家知名投资者的支持,包括谷歌、Accel Partners和Warburg Pincus等。公司在2019年成功上市,并于2024年加入了标准普尔500指数。近年来,CrowdStrike通过多次收购扩展其产品和服务,例如2020年收购了零信任技术提供商Preempt Security和2021年收购了日志管理平台Humio。
技术与服务
CrowdStrike的核心产品Falcon平台利用人工智能和机器学习技术进行实时威胁检测和响应。该平台能够监控和保护终端设备、云工作负载以及身份和安全操作。
重大事件
CrowdStrike在多起高调的网络攻击调查中发挥了关键作用,例如2014年的索尼影业黑客事件和2016年的美国民主党全国委员会网络攻击事件。
财务表现
截至2024年,CrowdStrike的年收入持续增长,公司在2024年第一季度的总收入达到7.316亿美元,同比增长37%。订阅收入也显示出强劲增长,反映了其服务在市场上的高需求。
版权归原作者 IT 刘工 所有, 如有侵权,请联系我们删除。