【商業拆解】解讀全球死機初步報告 CrowdStrike責無旁貸 微軟能置身事外?

商業拆解
【商業拆解】解讀全球死機初步報告 CrowdStrike責無旁貸 微軟能置身事外?

2024年7月19日,資訊保安服務供應商CrowdStrike為其Falcon軟件發布更新檔案,那些使用微軟(Microsoft)視窗(Windows)作業系統的電腦在更新Falcon軟件後,觸發邏輯錯誤,一律出現「死亡藍屏」(Blue Screen of Death,BSoD),無法操作(死機)。今次「死機」影響範圍廣大,據微軟透露全球共850萬部電腦受事件影響,使全球航空、銀行和媒體等陷入大混亂,更有專家指是「史上最大IT(資訊科技)故障」。

尤其是對受影響的旅客和(部分)打工仔來說,他們的旅程/工作流程被嚴重擾亂,當時紛紛指責微軟!網民亦戲稱,7月19日為「國際藍屏日(International BlueScreen Day)」!其後CrowdStrike的更新檔案被揭發為死機元兇,令藍屏事件頗有「CrowdStrike犯錯,微軟當災」之感!縱然「全球死機」已搵出真兇是CrowdStrike,但科技巨企微軟在事件上的角色有其尷尬之處,當中牽涉到政府反壟斷,以及微軟在資訊保安服務市場上的地位,值得探討。

CrowdStrike與Falcon軟件

在「國際藍屏日」之前,大眾好像並不太認識2011年才成立的CrowdStrike,而大眾亦非常驚訝此企業的資訊保安軟件,已經在世界商業領域中佔據了非常重要的位置。

事實上,CrowdStrike在資訊保安業界已相當有名,其「響朵」之作為2016年「SolarWinds事件」。當時俄羅斯黑客藉由SolarWinds的網絡管理軟件Orion的漏洞,滲透美國政府的電腦網絡,甚至曾經傳出連儲存核武部門電腦亦遭入侵;同時黑客又經由SolarWinds入侵微軟,再借微軟系統攻擊其他目標。CrowdStrike當時靠著Falcon平台最先揭發黑客入侵事件!

CrowdStrike在2011年由George Kurtz及Dmitri Alperovitch共同創立,George Kurtz曾在防毒軟件公司McAfee任職全球技術總監。CrowdStrike是一家主打為客戶提供端點保安(Endpoint Security)、威脅情報(Threat Intelligence)、網攻響應(Cyberattack Response)等服務的網絡安全公司。

CrowdStrike主要產品是其雲端保安平台Falcon。Falcon是一個基於雲端的端點檢測與回應(Endpoint Detection and Response,EDR)解決方案,主要透過不斷對作業系統進行掃描以找出任何可疑活動/威脅並自動作出回應,與傳統的防毒軟件相比更為全面。然而,要為客戶端點進行全面掃描,Falcon需取得作業系統的核心權限(kernel)。Falcon會在 Windows 開機之時一併執行。而正正由於Falcon擁有作業系統核心權限,使得今次的「藍屏死機」影響範圍異常的大。

核心權限與動態防毒

根據前微軟視窗系統開發人員Dave Plummer的解釋,具有作業系統核心權限的驅動程式(driver)及對核心驅動程式的更新,須獲得微軟官方的驗證與許可(Windows Hardware Quality Labs/WHQL Certified),但從驗證到獲得批准需時。對CrowdStrike而言,其Falcon程式主打動態防毒/主動掃除網安威脅,持續且及時的更新至關重要。

CrowdStrike的應對方法是在不更新核心驅動程式的情況下,更新無須微軟批准的「通道檔案」(channel file),以改變驅動程式。「通道檔案」是「設定檔案」的其中一種,每次通道檔案的更新將有助Falcon重新介定須注意和阻撓那些惡意程式或威脅行為。從實際功用上看,容許「通道檔案更新」可視為微軟為資安防毒軟件開發商提供的「後門」,讓他們可對具核心權限驅動程式進行「外部更新」。

CrowdStrike初步報告

根據CrowdStrike在7月24日發表的初步事故審查報告,CrowdStrike 向視窗系統的 Falcon sensor 推送了一個通道檔案的更新,該更新觸發了一個邏輯錯誤,並導致系統崩潰。今次受影響的為使用視窗7.11版本及以上的 Falcon sensor 客戶,而 Linux 與 macOS 系統由於未有使用本次更新的通道檔案,因此不受影響。

根據Crowdstrike發布有關事件的技術細節,今次導 致系統崩潰是一個編號 291 的通道檔案,該通道檔案控制着Falcon如何評估視窗系統上的具名管道(Named Pipes);而在正常情況下,具名管道是程序或系統之間相互溝通的機制。而對 291 通道檔案的更新,是針對一種新發現的惡意具名管道,而該具名管道常見於被稱為 C2 的網絡攻擊。同時,Crowdstrike澄清今次的系統崩潰並非因為 291 通道檔案中包含的「空字節」(null bytes)。

微軟回應 怪責歐盟?

事發後,微軟當然很快得悉事件起因就是CrowdStrike對Falcon的更新。微軟行政總裁納德拉(Satya Nadella)曾在社交媒體 X 上發文並明確指出,是因為CrowdStrike發布的更新影響了全球IT系統。事件元兇明確為CrowdStrike,然而有不少人質疑微軟對驅動程式核心權限疏於管控、容許CrowdStrike可經「更改通道檔案」方式去改動驅動程式,才是導致全球大死機的肇禍主因。

對此,微軟向外表示一切全因歐盟。《華爾街日報》引述微軟發言人指,微軟不能像蘋果一樣把自家作業系統圍起來(wall off)。微軟在2009年曾向歐盟承諾,允許資訊保安服務公司在視窗作業系統上擁有與微軟同等的權限,因此微軟不能以保安理由阻止CrowdStrike更新。

2009年歐盟協議的出現,背後其實牽涉到反壟斷問題。微軟有其自家資訊保安產品「Windows Defender」,為避免捲入歐盟的反競爭調查,微軟因此在2009年與歐盟達成協議,開放核心權限予其他資訊保安軟件供應商。

如前述,蘋果選擇了與微軟截然不同的道路,蘋果在2020年改動了 macOS 的架構,避免資安軟件可透過外部更新影響擁有核心權限的驅動程式。蘋果當時聲稱,此舉是為了提升系統的安全性及可靠性。

微軟與CrowdStrike是競爭對手?

與蘋果相比,微軟的確好像受到了歐盟協議的制肘,才出現了「CrowdStrike更新,癱瘓視窗」一事。然而反壟斷問題,確實存在。據市場調查機構 IDC(International Data Corporation )發表有關2022年企業端點保安(Corporate Endpoint Security)市場的報告,CrowdStrike在端點保安市場的市場份額為15.1%,排名第2;而雄據第1的是微軟,市佔率為18.9%。

若果沒有2009年歐盟協議的存在,難以想像微軟及其產品 Windows Defender for Endpoint 在企業端點保安市場的份額會有多大。

在「藍屏事件」發生後,業界有不少評論認為,微軟會以安全為由游說各國政府,把資安軟件在視窗系統上的核心權限收回。以應付分散式阻斷服務(DDoS)攻擊而聞名的資訊保安服務供應商Cloudflare,其行政總裁Matthew Prince在事發後發文直言,擔心微軟會主張把所有第三方供應商排除在作業系統之外,並向政府聲稱此乃唯一能保障安全的辦法。

Matthew稱,CrowdStrike的確把事情搞砸了,但微軟也曾在資訊保安上犯下大錯。他認為更好的安全性不應建立在集體安全(consolidated security)之上,安全性應該來自多個供應商的開放競爭,而不是應用提供商為你揀選資訊保安服務商。縱然CrowdStrike出事,這不代表微軟應該成為唯一的解決方案。

雖然Matthew發言頗有維護自身及業界利益之感,筆者亦認同資訊保安市場的開放競爭會比微軟獨大有利,畢竟競爭才能推動進步。而且,微軟一家獨大亦有可能出現重大資安問題,到時受影響的電腦數目相信會遠大於850萬部⋯⋯ 一如「SolarWind事件」,由競爭對手察覺到微軟系統出現資安問題一樣,市場上有其他競爭對手,有助降低過渡依賴微軟的風險。

同時,筆者相信今次「藍屏」事件並不會影響歐盟對反壟斷的態度,鑑於微軟現時在整個資訊保安市場上的領導地位(不單止企業端點保安市場),看不到歐盟會對2009年協議鬆口的理由。然而,「更改通道檔案」這種外部更新,在美國國會聽證會上也許會受到多方質疑。未來微軟或需擬定出另一種機制,讓資訊保安公司能進行及時、可靠的軟件更新,同時避免避免大規模死機再次發生。


即刻follow我地Facebook同Instagram,隨時接收最新資訊!

你可能感興趣