微软终于解释了 CrowdStrike 事件的根本原因

在过去的 10 天里，CrowdStrike 和微软一直在夜以继日地工作，以帮助因 CrowdStrike 更新故障导致的大规模 Windows BSOD 问题而受到影响的客户。在提供修复方法的同时，CrowdStrike 还发布了此次故障的初步事件后审查报告。根据他们的报告，BSOD 是由内存安全问题引起的，他们的 CSagent 驱动程序执行了越界读取访问违规操作。

微软昨天公布了他们对 CrowdStrike 驱动程序造成的这次故障的详细技术分析。微软的分析证实了 CrowdStrike 的发现，即崩溃是由 CrowdStrike 的 CSagent.sys 驱动程序中的越界读取内存安全错误造成的。csagent.sys 模块在 Windows PC 中注册为文件系统过滤驱动程序，用于接收有关文件操作（包括创建或修改文件）的通知。这样，包括 CrowdStrike 在内的安全产品就可以扫描保存到磁盘中的任何新文件。

事件发生时，微软允许第三方软件开发人员进行内核级访问的做法受到了很多批评。在博文中，微软解释了为什么要为安全产品提供内核级访问权限：

• 内核驱动程序可实现系统范围内的可见性，并能在启动过程中提前加载，以检测启动工具包和 root 工具包等威胁，它们可以在用户模式应用程序之前加载。
• 微软提供的功能包括用于进程和线程创建的系统事件回调、文件过滤驱动程序等。
• 内核驱动程序可为高吞吐量网络活动等情况提供更好的性能。
• 安全解决方案希望确保其软件不会被恶意软件、定向攻击或恶意内部人员禁用，即使这些攻击者拥有管理员级权限。为此，Windows 在启动过程的早期提供了早期启动反恶意软件 (ELAM)。

不过，内核驱动程序也有代价，因为它们运行在最可信的 Windows 级别，会增加风险。微软还在努力将复杂的 Windows 核心服务从内核模式转移到用户模式，如字体文件解析。

微软建议安全解决方案提供商在可视性和防篡改等需求与在内核模式下运行的风险之间取得平衡。例如，他们可以使用在内核模式下运行的最小传感器进行数据收集和执行，从而限制可用性问题的风险。其余功能，如管理更新、解析内容和其他操作，则可以在用户模式下单独进行。

在博文中，微软还解释了 Windows 操作系统的内置安全功能。这些安全功能为 Windows 提供了多层保护，防止恶意软件和利用尝试。微软将通过 “微软病毒计划”（MVI）与反恶意软件生态系统合作，利用 Windows 内置的安全功能进一步提高安全性和可靠性。

微软目前的计划如下：

• 提供安全推出指导、最佳实践和技术，使安全产品的更新更安全。
• 减少内核驱动程序访问重要安全数据的需要。
• 利用最近发布的 VBS enclaves 等技术，提供增强的隔离和防篡改功能。
• 启用高完整性验证等零信任方法，该方法可根据 Windows 本机安全功能的健康状况确定机器的安全状态。

虽然截至 7 月 25 日，97% 以上受此问题影响的 Windows PC 已重新上线，但微软现在正着眼于未来，以防止此类问题的发生。微软 Windows 项目管理副总裁约翰-凯布尔（John Cable）最近发表了一篇关于 CrowdStrike 问题的博文，其中提到 Windows 必须优先考虑端到端弹性领域的变革和创新，这正是客户对微软的期望。

来源：微软