信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

根據(jù)微軟周末最新發(fā)布的公告，受CrowdStrike軟件更新錯(cuò)誤影響，全球約850萬臺Windows設(shè)備在上周五經(jīng)歷了大規(guī)模的IT中斷。該事件的規(guī)模和損失仍在持續(xù)增長，從微軟公布的數(shù)據(jù)來看其影響已經(jīng)超過了“心臟滴血”、“想哭病毒”等歷史上最嚴(yán)重的網(wǎng)絡(luò)安全事件。

簡化恢復(fù)工作，微軟發(fā)布“急救U盤”

由于之前的系統(tǒng)恢復(fù)工作需要人工操作效率很低（重啟電腦15次，或進(jìn)入安全模式刪除相關(guān)配置文件），微軟緊急發(fā)布了一款USB急救工具，幫助IT管理員加快修復(fù)受CrowdStrike Falcon代理問題影響的Windows客戶端和服務(wù)器。

制作該工具的系統(tǒng)要求是：Windows 64位客戶端，并至少擁有8GB的可用空間，用于創(chuàng)建可啟動的USB驅(qū)動器，同時(shí)還需擁有Windows客戶端的管理員權(quán)限。（相關(guān)鏈接在文末）

盡管受影響的Windows設(shè)備不到總量的1%，微軟表示，已動員數(shù)百名工程師和專家，直接與客戶合作以恢復(fù)系統(tǒng)和服務(wù)。

事件溯源，EDR安全再成焦點(diǎn)

業(yè)界對此次全球范圍的大規(guī)模系統(tǒng)崩潰有著諸多猜測，但微軟在公告中指出，事故的根源在于2024年7月19日04:09 UTC推送到Windows系統(tǒng)的Crowdstrike傳感器配置更新，該更新觸發(fā)了邏輯錯(cuò)誤，使全球范圍內(nèi)的關(guān)鍵計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏故障。

微軟的說法與此前Crowdstrike的解釋基本一致。在周六的更新中，CrowdStrike提供了技術(shù)警報(bào)，詳細(xì)說明了問題原因及企業(yè)可采取的解決步驟。

雖然業(yè)界對Crowdstrike以如此草率的方式匆忙發(fā)布更新表示不解，且事件深層原因仍在調(diào)查中，但是有一件事值得注意，在Crowdstrike推出安全更新的前一天，黑客組織FIN7在暗網(wǎng)公開銷售能夠繞過大多數(shù)EDR的黑客工具，號稱EDR殺手（代號AvNeutralizer）。該工具利用了Windows內(nèi)置的TTD顯示器驅(qū)動（ProcLaunchMon.sys）和Windows進(jìn)程瀏覽驅(qū)動（procexp）。該工具被廣泛用于2023年4月份以后的勒索軟件攻擊。

安全產(chǎn)品（尤其是EDR/XDR工具）為了跨IT系統(tǒng)執(zhí)行實(shí)時(shí)監(jiān)控和威脅檢測，需要盡可能高的權(quán)限，訪問非常敏感的信息，而且啟動時(shí)不能被輕易刪除。然而，權(quán)力越大，責(zé)任越大，這些安全工具中的嚴(yán)重漏洞可被黑客利用繞過檢測甚至武器化成“超級惡意軟件“，用來部署勒索軟件、竊取機(jī)密信息，而且難以被發(fā)覺和刪除。近年來主流EDR產(chǎn)品頻頻曝出嚴(yán)重漏洞，威脅著數(shù)以億計(jì)的設(shè)備。

攻擊者一旦能夠利用安全軟件的漏洞（或者安全廠商“手滑”），就可將其變成殺傷力極大的攻擊武器。因此，企業(yè)在部署EDR/XDR等安全解決方案時(shí)，需要提高警惕，加強(qiáng)安全管理，并定期進(jìn)行安全評估和漏洞修復(fù)。

史上最大規(guī)模網(wǎng)絡(luò)安全事件

Crowdstrike大規(guī)模系統(tǒng)崩潰事件已經(jīng)導(dǎo)致全球數(shù)十個(gè)國家近千萬臺計(jì)算機(jī)癱瘓，造成數(shù)十億美元的直接或間接經(jīng)濟(jì)損失，對全球社會和經(jīng)濟(jì)的長期影響難以估量。

西方主流媒體紛紛用“混亂”和“災(zāi)難”等詞語形容該事件，并指出該事件的影響目前仍在持續(xù)，有可能成為歷史上最嚴(yán)重的IT安全事件。

事件爆發(fā)后，Crowdstrike首席執(zhí)行官George Kurtz在X平臺連續(xù)發(fā)貼引發(fā)眾怒，Kurtz首先用外交辭令輕描淡寫地將該事件定義為一次“內(nèi)容更新異常”，在隨后的發(fā)帖中，Kurtz雖然被迫做出道歉，但矢口否認(rèn)該事件是“網(wǎng)絡(luò)安全事件”（Cyber Incident），并聲稱“客戶受到了全面的安全保護(hù)”（下圖），再次引來業(yè)界人士的口誅筆伐。

事實(shí)上，Crowdstrike導(dǎo)致的全球性系統(tǒng)崩潰對其廣大客戶，乃至全球社會經(jīng)濟(jì)和人員財(cái)產(chǎn)的殺傷力和爆炸半徑遠(yuǎn)超“想哭病毒”、SolarWinds供應(yīng)鏈攻擊、NotPetya、“心臟滴血”漏洞等著名網(wǎng)絡(luò)安全事件，是歷史上最嚴(yán)重的網(wǎng)絡(luò)安全事件，堪稱核彈級別。

雖然微軟強(qiáng)調(diào)發(fā)生系統(tǒng)崩潰的設(shè)備占比很低，但微軟對該事件的損失和影響預(yù)期并不樂觀。“盡管受影響的系統(tǒng)比例很小，但考慮到許多企業(yè)選擇在運(yùn)行重要服務(wù)的設(shè)備上安裝CrowdStrike，因此其廣泛的經(jīng)濟(jì)和社會影響難以估量。”微軟表示。

網(wǎng)絡(luò)安全威脅論的破滅

在網(wǎng)絡(luò)安全領(lǐng)域，美國及其盟國近年來不遺余力地宣揚(yáng)“中國威脅論”，將中國、伊朗、俄羅斯等國家視為“敵對國家”，捏造散布中國黑客組織攻擊國外關(guān)鍵基礎(chǔ)設(shè)施、操縱輿論并從事大規(guī)模間諜活動的不實(shí)言論。此次Crowdstrike的一個(gè)輕微疏忽就對西方IT基礎(chǔ)設(shè)施造成災(zāi)難性后果，這一事實(shí)再次凸顯是誰才是全球最大的網(wǎng)絡(luò)威脅制造者和實(shí)施者。

對于此次微軟全球藍(lán)屏事件，安全專家Patrick Jones在X發(fā)帖一針見血地指出：

不知道誰會為此承擔(dān)責(zé)任？中國？俄羅斯？伊朗？朝鮮？還是以上所有？但是，誰真正控制著世界上大部分的計(jì)算機(jī)和IT？究竟是誰有能力進(jìn)行如此大規(guī)模的黑客攻擊？誰是永遠(yuǎn)不允許談?wù)摶蛑肛?zé)的對象？誰從未被追究責(zé)任，卻似乎總是身處此類事件的中心？誰想統(tǒng)治世界，并相信自己被選中？誰從未接受調(diào)查，卻一直在進(jìn)行調(diào)查？誰控制著媒體，為你提供故事敘述？好好欣賞吧。

除了“微軟藍(lán)屏”，還有多少核彈級的風(fēng)險(xiǎn)值得關(guān)注

在這個(gè)高度依賴科技的時(shí)代，除了“微軟藍(lán)屏”這樣“淺顯”的威脅外，還有許多潛在的核彈級風(fēng)險(xiǎn)需要我們密切關(guān)注和防范。無論是操作系統(tǒng)、處理器、智能手機(jī)（硬件）后門、開源供應(yīng)鏈攻擊、海底光纜安全，還是量子解密威脅、太空網(wǎng)絡(luò)安全、公有云安全問題，以及AI大模型數(shù)據(jù)泄露和隱私侵犯，都是懸在數(shù)字化社會上空的利劍。各國在追求技術(shù)進(jìn)步和經(jīng)濟(jì)繁榮的同時(shí)需要不斷提升技術(shù)安全性和風(fēng)險(xiǎn)管理能力，才能避免災(zāi)難性的網(wǎng)絡(luò)安全事件不斷爆發(fā)或重演。