CrowdStrike周三表示，该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。

上周五，CrowdStrike针对其Falcon平台发布了通道文件更新，该更新导致数百万台Windows设备崩溃并进入重新启动循环。尽管微软表示，只有约850万台Windows设备（占总数的不到1%）受到影响，但此次更新导致医院、航空公司等组织遭遇重大服务中断。

周三，CrowdStrike在其官方修复和指导中心发布更新内容，解释了该供应商为什么以及如何启动其有问题的Falcon更新。这被描述为“初步事后审查（PIR）”，这些初步调查结果将先于即将进行的“根本原因分析”，大概是供应商的最终调查结果。

CrowdStrike说，更新本身是其Windows传感器的内容配置更新，以获得威胁情报遥测。虽然此类更新是Falcon流程的常规部分，但此特定更新导致CrowdStrike客户的Windows系统崩溃。此次更新于2024年7月19日星期五国际标准时间04:09发布，该漏洞于国际标准时间5:27恢复。

该PIR解释说，CrowdStrike以两种方式向传感器提供其安全内容配置更新：传感器内容和快速响应内容更新。传感器内容经过全面测试，“包括传感器上的人工智能和机器学习模型，并包括明确编写的代码，为CrowdStrike的威胁检测工程师提供长期、可重用的功能。”相比之下，快速响应内容用于“各种行为模式匹配操作”和“在无需更改传感器代码的情况下提供传感器的可见性和检测”。

据PIR称，在分阶段推出之前，传感器内容更新会进行自动单元测试、集成测试、性能测试和压力测试，分阶段推出会从CrowdStrike测试系统的“dogfooding内部测试”开始。然而，CrowdStrike表示，作为“模板实例”交付的快速响应内容更新是通过Falcon平台的内容配置系统来配置，该系统在通过内容验证器发布之前对该更新进行检查。

CrowdStrike的有缺陷的通道文件更新给客户造成了重大影响，迫使该供应商、微软和其他科技公司做出修复和恢复工作。

正如CrowdStrike所解释的，此次中断是由快速响应内容更新或进程间通信（IPC）模板引起，该模板具有“未检测到的错误”，自而动内容验证器没有发现该错误。虽然CrowdStrike将压力测试应用于快速响应内容，但该更新显然没有经过与传感器内容相同的预发布测试。

CrowdStrike称：“在2024年7月19日，两个IPC模板实例被部署。由于内容验证器中存在漏洞，尽管包含有问题的内容数据，但两个模板实例中的一个通过了验证。根据Template Type初始部署（2024年3月5日）之前执行的测试，对内容验证器中执行的检查的信任，以及之前成功的IPC模板实例部署，这些实例已部署到生产中。

CrowdStrike的报告没有具体说明在内容验证器中发现了哪种漏洞。目前还不清楚该漏洞是否得到缓解。TechTarget Editorial联系了CrowdStrike寻求更多评论，但截至发稿时该供应商没有回复。

该PIR称，通道文件291中未检测到的错误导致越界内存读取，在具有Falcon传感器的Windows系统上触发蓝屏死机错误。

为了防止将来发生这种情况，CrowdStrike表示，他们针对快速响应内容传感器更新采用新测试和部署实践。在测试结束时，该供应商将使用额外的测试流程，例如本地开发人员测试以及内容更新和回滚测试；实施额外的验证检查；并增强现有错误处理。

在部署结束时，该供应商打算实施交错部署，“其中更新逐步部署到传感器基地的更大部分，从金丝雀部署开始”，改善对传感器和系统性能的监控，为客户提供对更新交付方式的更大控制，并通过客户可以订阅的发布说明提供更新详细信息。

事实证明，从周五的缺陷更新中恢复过来很复杂，因为每个受影响的设备都需要手动修复。但微软已经发布了恢复工具，微软和CrowdStrike都发布了指南和变通办法。CrowdStrike本周表示，“大量”设备已经恢复，尽管恢复过程仍在进行中。