你的位置:色无月 > 冲田杏梨qvod >

【RBD-257】人気ファッションモデル監禁 性虐コレクション3 AYA 两次全球蓝屏,首恶竟是消除东说念主?14年后,“灭霸”CEO再酿IT灾祸

【RBD-257】人気ファッションモデル監禁 性虐コレクション3 AYA 两次全球蓝屏,首恶竟是消除东说念主?14年后,“灭霸”CEO再酿IT灾祸

绝了【RBD-257】人気ファッションモデル監禁 性虐コレクション3 AYA,外媒刚刚发现:这次形成微软蓝屏灾祸的CrowdStrike CEO,在Windows XP时间就曾搞崩过全球的蛊惑。同样是一次更新,同样让蛊惑断网,同样要东说念主工诞生。两次导致全球IT灾祸,此君不错「名敬重史」了。

微软全球蓝屏事件,破案了!

图片

一个由「C-00000291*.sys」竖立文献触发的系统逻辑装假,一忽儿就破裂掉全全国约10亿台计较机,并在随后激发所有的二阶、三阶效应。

就如AI大神Karpathy所言,技巧领域还存在着的单点瞬时故障,王人将对东说念主类社会形成宏大隐患。

而这次形周详球TI灾祸的始作俑者、CrowdStrike CEO,竟被外媒扒出已有前科——

2010年在McAfee用一个更新搞崩全球蛊惑的,简直亦然他!

逻辑装假,触发全球大崩溃

故障发生的第一时刻,就有网友向全球发出警告——住手所有CrowdStrike更新!住手所有CrowdStrike更新!

关于事件启事,Objective-See基金会创举东说念主Patrick Wardle也在第一时刻就作念了一番详备探访。

这个位置取自指针数组(保存在RAX中),索引RDX(0x14 * 0x8)保存了一个无效的内存地址。

其他的「驱上路手」(举例「C-00000291-...32.sys」)似乎是期凌的数据,而况被「CSAgent.sys」进行了x-ref'd操作。

因此,八成是这种无效(竖立/签名)的数据,触发了CSAgent.sys中的故障。

通过调试,不错更容易地判断这小数。

闪现,事故中最蹙迫的悬而未决的问题就是,这个「C-00000291-...xxx.sys」文献究竟是什么?

CSAgent.sys一朝援用它们,就立马崩溃了;而只须删除它们,就不错诞生崩溃。

在VT上,他还对CSAgent.sys以及来自单个故障转储的数据进行了逆向分析。

终末,Wardle共享出了CSAgent.sys的几个版块(+idb),以及各式「C-....sys」文献(包括他以为如故包含了「诞生」的最新文献)。

他暗示,由于我方莫得任何Windows系统或臆造机,是以但愿网友们能陆续挖掘。

就在昨天,坏心软件巨匠Malware Utkonos有了更多细节的发现——

37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66这个地址处,似乎有一个针对0xaaaaaaaa的文献魔法查验。

这个步地,亦然「通说念文献」(Channel Files)的前四个字节。一起为NULL的文献,就可能会导致该cmp失败。

不错看到,rcx中与0xaaaaaaaa进行比拟的值,由ExAllocatePoolWithTagPriority分拨在顶部。那儿恰是接受ZwReadFile读取的数据的缓冲区。

这个值会在之后用cmp传递给函数(Utkonos在图中将这些函数定名为里面的wdm.h函数调用)。

通过合感性查验可发现:0xaaaaaaaa字节步地仅在此处查验的「通说念文献」偏移0处出现过一次。

以下就是奉行访佛cmp的地址。

不错看到,只须0xaaaaaaaa看起来不同。

CrowdStrike官方讲明注解

很快,CrowdStrike在官博放出的讲明注解,关于网友们猜疑的问题进行了清醒——

2024年7月19日04:09 UTC,CrowdStrike在抓续运营中向Windows系统发布了一次传感器竖立更新,这亦然Falcon平台保护机制的一部分。

这次竖立更新触发了一个逻辑装假【RBD-257】人気ファッションモデル監禁 性虐コレクション3 AYA,导致受影响的系统出现崩溃和蓝屏(BSOD)。

导致系统崩溃的更新已于2024年7月19日05:27 UTC得到诞生。

其中技巧细节如下——

在Windows系统中,通说念文献位于以下目次:C:\Windows\System32\drivers\CrowdStrike\,而况文献名以「C-」滥觞。每个通说念文献王人有一个独一编号当作标志。

这次事件中受影响的通说念文献为291,文献名以「C-00000291-」滥觞,以.sys扩张名收尾。天然通说念文献以SYS扩张名收尾,但它们不是内核驱上路手.

通说念文献291会影响Falcon如何评估Windows系统上的定名管说念奉行。这些定名管说念用于Windows中普通进度间或系统间通讯的机制。

周五的更新,本意是针对网罗袭击中常见的C2框架中所使用的新发现的坏心定名管说念,但本色上却触发了系统的逻辑装假,导致崩溃。

不外,这与通说念文献291或任何其他通说念文献中的空字节问题无关。

此事已被网友用Suno作念成歌曲

要思还原,就必须在安全步地下启动机器,而况以腹地料理员身份登录并删除内容——这是不可能自动化的。

因此,这次瘫痪的打击面才会这样大,而况难以还原。

前次亦然他

天然CrowdStrike承认了我方的装假,并在周五发布了说念歉声明和处罚决策。

但他们尚未讲明注解明晰,这个破裂性的更新是如安在未过程测试和其他安全门径的情况下发布的。

天然,宽阔品评的声息运行聚积到事件的中枢东说念主物:CrowdStrike的首席奉行官George Kurtz。

科技行业分析师Anshel Sag指出,这如故不是库尔茨第一次在关键IT事件中演出蹙迫脚色了。

熟识的配方,熟识的滋味

2010年4月21日,杀毒软件McAfee发布了一次面向企业客户的软件更新。

得到更新后的软件会删除一个Windows系统的要津文献,导致全球数百万台电脑崩溃并反复重启。

和CrowdStrike的装假访佛,McAfee的问题也需要手动诞生(蛊惑断网离线)。

而Kurtz,恰是其时McAfee的首席技巧官。

2012年,Kurtz创立了CrowdStrike,并一直担任首席奉行官于今。

2010年,冲田杏梨作品发生了什么?

2010年4月21日早上6点,McAfee向企业客户发布了一个「有问题」的病毒界说更新。

然后,这些自动更新的Windows XP电脑,会径直堕入「无尽重启」的轮回中,直到技巧因循东说念主员到场手动诞生。

背后的原因其实很简便——杀毒软件在收到新的界说之后,会将一个惯例的Windows二进制文献「svchost.exe」识别为病毒「W32/Wecorl.a」,并给予就义。

一位大学IT东说念主员叙述称,他的网罗上有1200台电脑因此瘫痪。

另一封来自好意思国企业的电子邮件称,他们有「数百名用户」受到了影响:

这个问题影响了无数用户,而简便地替换svchost.exe并弗成处罚问题。你必须启动到安全步地,然后装配extra.dat文献,再手动运行vsca 已毕台。之后,你还需要删除进击的文献。每个用户至少有两个文献被进击,有些用户多达15个。不幸的是,使用这种方法,你无法笃信你还原的文献中哪些是蹙迫的系统文献,哪些是病毒文献。

此外,还有一份来自澳大利亚的叙述称,该国最大的超市连锁店有10%的收银机瘫痪,导致14到18家商店被动关闭。

这件事在其时的影响之大,让世东说念主纷繁咋舌:「即即是专注于开发病毒的黑客,推测王人作念不出能像McAfee今天这样能赶紧『端掉』这样多机器的坏心软件。」

以下是SANS Internet Storm Center对这次事件的面貌:

McAfee版块为5958的「DAT」文献,正在导致无数Windows XP SP3出现问题。受影响的系统将插足重启轮回并失去所有网罗蚁合。这个有问题的DAT文献可能会感染单个使命站以及蚁合到域的使命站。

使用「ePolicyOrchestrator」来更新病毒界说文献,似乎加快了这个有问题的DAT文献的传播。ePolicyOrchestrator通常用于在企业中更新「DAT」文献,但由于受影响的系统会失去网罗蚁合,它无法消灭这个有问题的签名。

Svchost.exe是Windows系统中最蹙迫的文献之一,它承载了险些所有系统功能的做事。要是莫得Svchost.exe,Windows压根无法启动。

两起事件天然相隔14年,但却有着同样的猜疑——这样的更新是如何从测试本质室流出并插足分娩做事器的。表面上,这类问题应该在测试初期就被发现并处罚了才对。

何许东说念主也?

George Kurtz在新泽西州的Parsippany-Troy Hills长大,就读于Parsippany高中。

Kurtz暗示,我方在四年纪时就运行在Commodore电脑上编写电子游戏身手。高中时,建立了早期的网罗一样平台——公告板系统。

他毕业于西东大学,得到管帐学学位。

随后他创办了Foundstone,并曾担任McAfee的首席技巧官。

当今,George Kurtz在与Dmitri Alperovitch共同创立的网罗安全公司CrowdStrike,担任首席奉行官。

除了营业成就外,他照旧又名赛车手。

亚州色

Price Waterhouse(普华永说念)和 Foundstone

大学毕业后,Kurtz在Price Waterhouse运行了他的事业生计,担任注册管帐师(CPA)。

1993年,Price Waterhouse让Kurtz成为其新成立的安全组的首批职工之一。

1999年,他与Stuart McClure和Joel Scambray共同撰写了《Hacking Exposed》,这是一册针对网罗料理员的网罗安全竹帛。该书销量逾越60万册,并被翻译成30多种言语。

同庚晚些时候,他创办了一家网罗安全公司Foundstone,这是最早绝顶从事安全询查的公司之一。Foundstone专注于缝隙料理软件和做事,并发展出了一个广受认同的事件反应业务,很多钞票100强公司王人是其客户。

McAfee

McAfee在2004年8月以8600万好意思元收购了Foundstone,Kurtz因此成为McAfee的高档副总裁兼风险料理总司理。在职期内,他匡助制定了公司的安全风险料理战略。

2009年10月,McAfee任命他为全球首席技巧官和奉行副总裁。

跟着时刻的推移,Kurtz对现存的安全技巧运行徐徐感到消极,因为他以为这些技巧莫得跟上新挟制的发展速率。

有一次,他在飞机上看到邻座乘客恭候15分钟才让McAfee软件在札记本电脑上加载已矣,这一事件成为他创立CrowdStrike的灵感之一。

CrowdStrike

2011年11月,Kurtz加入私募股权公司Warburg Pincus,担任「驻企企业家」(entrepreneur-in-residence),并运行入部属手他的下一个技俩CrowdStrike。

2012年2月,他与前Foundstone的首席财务官Gregg Marston和Dmitri Alperovitch联手,崇拜成立了CrowdStrike。

CrowdStrike将重心从反坏心软件和防病毒家具(McAfee的网罗安全方法)振荡到识别黑客使用的技巧,以便发现行将到来的挟制。并开发了一种「云优先」(cloud-first)步地,以减少客户计较机上的软件背负。

2017年5月,CrowdStrike估值逾越10亿好意思元。2019年,公司在纳斯达克初度公开募股6.12亿好意思元,估值达到66亿好意思元。

2020年7月,IDC叙述将CrowdStrike评为增长最快的端点安全软件供应商。

2024年,Kurtz仍然是CrowdStrike的总裁兼首席奉行官。

尽然【RBD-257】人気ファッションモデル監禁 性虐コレクション3 AYA,全国就是个宏大的草台班子。