微软全球系统故障致损失高达391亿，仍有25万台设备未能恢复正常运作

全球范围内的微软蓝屏事件，现仍有25万台设备尚未完全恢复！

据估计，此次崩溃的设备数量高达850万台，目前已恢复97%，虽然修复速度看起来相当快，但剩余的3%依然是25万台设备待修复。

同时，微软也发布了一份详尽的调查报告，解读了事件的根本原因，并阐明了为何安全产品需要采用内核模式驱动程序以及如何在未来提升安全产品的扩展性。

此次事件几乎影响了全球范围内的多个行业，包括航空业、电视广播、医疗机构和金融领域，连奥运会也在其中受到波及。

在航空领域，仅有的就超过5000个航班被迫取消，这占到了全球定期航班的4.6%。其中一家美国航空公司更是连续三天都发生航班取消。

经济损失同样达到了数十亿美元，数据分析公司Parametrix估算，仅财富500强公司就损失了54亿美元（约391.8亿人民币）。

还有黑客趁机行诈，假冒Crowdstrike名义，发布“修复工具”，散布恶意软件。

网络安全专家Troy Hunt称此次事件为“历史上最大规模的IT系统中断”。

令人哭笑不得的是，Crowdstrike在事件后，向帮助解决问题的员工和合作伙伴发放10美元外卖券表示感谢，结果却被外卖平台标记为“欺诈”。

那些收到优惠券的人在试图使用时发现券已被作废，使Crowdstrike本已受损的声誉进一步下滑。

微软的调查报告确认了Crowdstrike初步报告中提到的驱动文件是引发事件的主要原因。

进一步的分析显示，该文件对内存的非法访问是导致崩溃的直接原因。

随着研究逐步深入，对第三方安全软件是否应该获得内核级操作权限的讨论也愈加热烈。

关键原因：非法内存读取

通过分析大量崩溃报告，微软发现这些记录均指向CrowdStrike的驱动程序csagent.sys。

微软通过调取故障时的内存转储，重现了崩溃发生的情况——

在检查崩溃线程的Trap Frame后，发现异常指令是对R8寄存器进行内存读取的操作。

进一步查看Trap Frame周围的指令，发现该读取操作前有对R8的空值进行检查，只有检查失败才会继续进行后续的读取。

但在检查R8所指向的虚拟地址后，微软发现其指向了一个无效地址，造成内核的违规访问，进而引发了崩溃。

Tags： 微软  Windows操作系统 

提示：本站文章来源于网络或投稿