相信大家伙在前兩天應該都刷到過 “ 微軟藍屏 ” 事件了吧。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

很不巧，當時世超正在激情團建中，就沒能讓大家吃上口熱乎的。xBe28資訊網——每日最新資訊28at.com

但沒關系，隨著國外媒體同行們的不斷深挖，關于這起事件的猛料是越來越多了，所以世超覺得這個時間點跟大家來盤一盤這件事剛剛好。xBe28資訊網——每日最新資訊28at.com

事情的起因是這樣的，有家叫做 CrowdStrike 的網絡安全公司，他們檢測到了新的網絡攻擊技術后，就對軟件進行了例行的更新推送。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

結果。。。這一更新直接把所有用了他們家產品的設備干癱瘓了。xBe28資訊網——每日最新資訊28at.com

機場、銀行、金融、交通運輸、零售、醫療。。。各行各業無一幸免。xBe28資訊網——每日最新資訊28at.com

在德國柏林勃蘭登堡機場，乘客們因為設備故障進不去安檢口。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

倫敦車站的售票機藍屏，導致人們買不到車票。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

紐約時代廣場的標志性廣告牌，也喜迎 “ 藍屏時代 ” 。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

向來心直口快的馬斯克當然也是在 X 上激情開噴，還發了一張 “ 火燒 CrowdStrike 機房 ” 的 AI 圖片，因為 CrowdStrike 這回捅的簍子影響到了特斯拉的生產線。xBe28資訊網——每日最新資訊28at.com

 “ 整活害得是你啊，老馬！ ” xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

總之，這起藍屏事件幾乎影響了所有行業，就連美國的專家都說 “ 看到這種連鎖反應，我人都傻了。 ” xBe28資訊網——每日最新資訊28at.com

而 CrowdStrike 捅出的簍子之所以這么大，主要也是因為他們的產品是真賣得不錯。xBe28資訊網——每日最新資訊28at.com

按照市場調研機構 IDC 的數據， CrowdStrike 是終端保護軟件行業中僅次于微軟的存在，在 126 億美元的市場中占到了 18% 的份額，全球的客戶就有 2.9 萬家，所以這回影響到的設備是數百萬臺。xBe28資訊網——每日最新資訊28at.com

CrowdStrike ，人稱美版 360 企業版（ 狗頭 ）。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

而且讓人哭笑不得的一點是，他們這回犯的錯誤還有點抽象。xBe28資訊網——每日最新資訊28at.com

從 CrowdStrike 自己披露的細節，以及安全專家們的分析來看，問題的源頭在于一個很小的文件，這個名稱為 “C-00000291*.sys” 是 CrowdStrike Falcon 平臺的一個配置文件，也被稱為 " 通道文件 " （ Channel File ）。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

而這個特定的 291 通道文件就是負責控制 Falcon 對 Windows 上的 " 命名管道 " （ Named Pipe ）執行動作進行評估。xBe28資訊網——每日最新資訊28at.com

嗯。。。這么說可能有點難以理解，咱們簡單點來說。xBe28資訊網——每日最新資訊28at.com

打個比方， Falcon 就是一個保安系統，它會監視 Windows 系統里程序的各種活動，而程序之間會通過一個叫做 “ 命名管道 ” 的東西來傳遞信息。xBe28資訊網——每日最新資訊28at.com

那么該怎么去判斷和處理這些 “ 命名管道 ” 里的活動呢？這個時候就要用到這個 291 文件，它的作用就像是一個規則手冊， Falcon 保安系統拿著這本冊子就可以判斷：哪些的活動是正常的可以放行；哪些活動是可疑的需要檢查；哪些活動是有害的需要制止。xBe28資訊網——每日最新資訊28at.com

如下：進程 A 到 B 之間的通信就是通過管道來完成 ▼xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

但是 CrowdStrike 在更新中往 291 文件里面塞入了一條完全不合理的規則，就好像你邀請別人來家里，但卻開了鄰居的門，然后說進去吧，鄰居：？？？xBe28資訊網——每日最新資訊28at.com

所以，在執行 291 這個錯誤規則時， Falcon 觸碰到了 Windows 系統中它本不該接觸的部分，引發了非法的內存訪問，終導致整個系統崩潰藍屏。xBe28資訊網——每日最新資訊28at.com

想要解決這個藍屏問題，還沒辦法用咱們的祖傳絕活 “ 重啟 ” ，而是要手動刪除這個有問題的配置文件 "C-00000291*.sys" ，以防止系統在啟動時再次加載并解析該文件。xBe28資訊網——每日最新資訊28at.com

但關鍵是很多用戶連進入系統界面都成問題，這就很難繃。。。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

除了莫名其妙地往更新里塞入了錯誤文件外，這回 CrowdStrike 還暴露出了很多其他問題。xBe28資訊網——每日最新資訊28at.com

比如就有安全大佬指出，每一次的規則更新都應該堅持灰度分發、監測和回滾等策略，而這回 CrowdStrike 的更新完全就是自動推送的，用戶們壓根來不及反應，事情發生后也沒有回滾機制，只能靠用戶自己手動解決。xBe28資訊網——每日最新資訊28at.com

還有個問題是：殺毒軟件居然有這么底層的權限？xBe28資訊網——每日最新資訊28at.com

針對這點，之前微軟順勢跳起來吐槽歐盟說： “ 當年就是它讓我向安全軟件開放底層權限的。 ” xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

這波啊 ~ 我只能說微軟真是個純純的樂子人了，既然事情跟自己沒關系，之前還老是被歐盟罰款，這回就狠狠地暗諷了一波歐盟。xBe28資訊網——每日最新資訊28at.com

所以，現在安全軟件公司只要稍不留神在系統底層搞點花活兒，就容易把整個系統整崩潰，那 Windows 可不就只能藍屏伺候了。xBe28資訊網——每日最新資訊28at.com

還有個有趣的事，之前就有人整出類似的大事兒，而且好巧不巧，這兩起事件的始作俑者都是同一個人，前殺毒軟件 McAfee CEO 、現 CrowdStrike CEO ——喬治 · 庫爾茨（ George Kurtz ）。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

喬治前后兩次出手，全世界的數百萬臺電腦都抖一抖，這種堪稱史詩級的操作，應該也是后無來者了。xBe28資訊網——每日最新資訊28at.com

xBe28資訊網——每日最新資訊28at.com

到這里，關于這起藍屏事件的前因后果就跟大家聊得差不多了。xBe28資訊網——每日最新資訊28at.com

世超覺得，這件事對于咱們來說影響比較小，屬于事不關己高高掛起，畢竟 CrowdStrike 之前就對中國大陸禁售了，咱們也 “ 享受 ” 不到他們的服務。xBe28資訊網——每日最新資訊28at.com

但從另外一個角度來說，這起事件的經驗教訓還是值得國內產業好好復盤學習的。xBe28資訊網——每日最新資訊28at.com

因為 CrowdStrike 事件暴露出來的是，系統安全也是數字基建的重要部分，會波及到各行各業的正常運轉，咱們想要走向數字強國，系統安全這塊還是得搞好。xBe28資訊網——每日最新資訊28at.com