上周五，网络安全公司 CrowdStrike 因推送有缺陷的软件更新而导致Windows 设备蓝屏死机，全球IT中断。现今世界各地都在热议这一事故。

在周六的事后分析博客文章中，CrowdStrike解释说，故障原因是其终端安全响应系统 CrowdStrike Falcon的通道文件（传感器配置）例行更新触发了逻辑错误，从而导致设备崩溃，影响范围为7.11 及更高版本。

该公司另外特别指出，现今有黑客正以提供修补程序为幌子，向客户分发 Remcos RAT恶意软件。英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局 CISA也警告称，“威胁行为者继续利用广泛的 IT 中断进行网络钓鱼和其他恶意活动。”

据了解，网络犯罪分子迅速通过社会工程攻击利用了这一情况。他们设置了诈骗域名和网络钓鱼页面，伪装成此次蓝屏死机问题的解决方案。例如，黑客组织 Handala 通过从“crowdstrike.com.vc”域发送电子邮件来冒充 CrowdStrike，向客户声称其创建了一个工具用以恢复Windows系统。

实际上，要解决此问题，管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境，并在C:\Windows\System32\drivers\CrowdStrike目录下手动删除有问题的内核驱动程序。然而，由于组织可能面临数百甚至上千台受影响的 Windows 设备，手动执行这些修复可能会存在耗时等问题。

针对这一情况，Microsoft专门发布了一款恢复工具，能够自动从Windows设备中删除有问题的CrowdStrike更新，以使其正常启动。微软支持公告中写道：“作为影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续措施，我们发布了一个 USB 工具来帮助 IT 管理员加快修复过程。用户可在 Microsoft 下载中心找到已签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。”

编辑：左右里

资讯来源：Microsoft

转载请注明出处和本文链接

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法