2024年7月19日，資訊保安服務供應商CrowdStrike為其Falcon軟件發布更新檔案，那些使用微軟（Microsoft）視窗（Windows）作業系統的電腦在更新Falcon軟件後，觸發邏輯錯誤，一律出現「死亡藍屏」（Blue Screen of Death，BSoD），無法操作（死機）。今次「死機」影響範圍廣大，據微軟透露全球共850萬部電腦受事件影響，使全球航空、銀行和媒體等陷入大混亂，更有專家指是「史上最大IT（資訊科技）故障」。

尤其是對受影響的旅客和（部分）打工仔來說，他們的旅程/工作流程被嚴重擾亂，當時紛紛指責微軟！網民亦戲稱，7月19日為「國際藍屏日（International BlueScreen Day）」！其後CrowdStrike的更新檔案被揭發為死機元兇，令藍屏事件頗有「CrowdStrike犯錯，微軟當災」之感！縱然「全球死機」已搵出真兇是CrowdStrike，但科技巨企微軟在事件上的角色有其尷尬之處，當中牽涉到政府反壟斷，以及微軟在資訊保安服務市場上的地位，值得探討。

CrowdStrike與Falcon軟件

在「國際藍屏日」之前，大眾好像並不太認識2011年才成立的CrowdStrike，而大眾亦非常驚訝此企業的資訊保安軟件，已經在世界商業領域中佔據了非常重要的位置。

事實上，CrowdStrike在資訊保安業界已相當有名，其「響朵」之作為2016年「SolarWinds事件」。當時俄羅斯黑客藉由SolarWinds的網絡管理軟件Orion的漏洞，滲透美國政府的電腦網絡，甚至曾經傳出連儲存核武部門電腦亦遭入侵；同時黑客又經由SolarWinds入侵微軟，再借微軟系統攻擊其他目標。CrowdStrike當時靠著Falcon平台最先揭發黑客入侵事件！

CrowdStrike在2011年由George Kurtz及Dmitri Alperovitch共同創立，George Kurtz曾在防毒軟件公司McAfee任職全球技術總監。CrowdStrike是一家主打為客戶提供端點保安（Endpoint Security）、威脅情報（Threat Intelligence）、網攻響應（Cyberattack Response）等服務的網絡安全公司。

CrowdStrike主要產品是其雲端保安平台Falcon。Falcon是一個基於雲端的端點檢測與回應（Endpoint Detection and Response，EDR）解決方案，主要透過不斷對作業系統進行掃描以找出任何可疑活動/威脅並自動作出回應，與傳統的防毒軟件相比更為全面。然而，要為客戶端點進行全面掃描，Falcon需取得作業系統的核心權限（kernel）。Falcon會在 Windows 開機之時一併執行。而正正由於Falcon擁有作業系統核心權限，使得今次的「藍屏死機」影響範圍異常的大。

核心權限與動態防毒

根據前微軟視窗系統開發人員Dave Plummer的解釋，具有作業系統核心權限的驅動程式（driver）及對核心驅動程式的更新，須獲得微軟官方的驗證與許可（Windows Hardware Quality Labs/WHQL Certified），但從驗證到獲得批准需時。對CrowdStrike而言，其Falcon程式主打動態防毒/主動掃除網安威脅，持續且及時的更新至關重要。

CrowdStrike的應對方法是在不更新核心驅動程式的情況下，更新無須微軟批准的「通道檔案」（channel file），以改變驅動程式。「通道檔案」是「設定檔案」的其中一種，每次通道檔案的更新將有助Falcon重新介定須注意和阻撓那些惡意程式或威脅行為。從實際功用上看，容許「通道檔案更新」可視為微軟為資安防毒軟件開發商提供的「後門」，讓他們可對具核心權限驅動程式進行「外部更新」。

CrowdStrike初步報告

根據CrowdStrike在7月24日發表的初步事故審查報告，CrowdStrike 向視窗系統的 Falcon sensor 推送了一個通道檔案的更新，該更新觸發了一個邏輯錯誤，並導致系統崩潰。今次受影響的為使用視窗7.11版本及以上的 Falcon sensor 客戶，而 Linux 與 macOS 系統由於未有使用本次更新的通道檔案，因此不受影響。

根據Crowdstrike發布有關事件的技術細節，今次導 致系統崩潰是一個編號 291 的通道檔案，該通道檔案控制着Falcon如何評估視窗系統上的具名管道（Named Pipes）；而在正常情況下，具名管道是程序或系統之間相互溝通的機制。而對 291 通道檔案的更新，是針對一種新發現的惡意具名管道，而該具名管道常見於被稱為 C2 的網絡攻擊。同時，Crowdstrike澄清今次的系統崩潰並非因為 291 通道檔案中包含的「空字節」（null bytes）。

微軟回應 怪責歐盟？

事發後，微軟當然很快得悉事件起因就是CrowdStrike對Falcon的更新。微軟行政總裁納德拉（Satya Nadella）曾在社交媒體 X 上發文並明確指出，是因為CrowdStrike發布的更新影響了全球IT系統。事件元兇明確為CrowdStrike，然而有不少人質疑微軟對驅動程式核心權限疏於管控、容許CrowdStrike可經「更改通道檔案」方式去改動驅動程式，才是導致全球大死機的肇禍主因。

對此，微軟向外表示一切全因歐盟。《華爾街日報》引述微軟發言人指，微軟不能像蘋果一樣把自家作業系統圍起來（wall off）。微軟在2009年曾向歐盟承諾，允許資訊保安服務公司在視窗作業系統上擁有與微軟同等的權限，因此微軟不能以保安理由阻止CrowdStrike更新。

2009年歐盟協議的出現，背後其實牽涉到反壟斷問題。微軟有其自家資訊保安產品「Windows Defender」，為避免捲入歐盟的反競爭調查，微軟因此在2009年與歐盟達成協議，開放核心權限予其他資訊保安軟件供應商。

如前述，蘋果選擇了與微軟截然不同的道路，蘋果在2020年改動了 macOS 的架構，避免資安軟件可透過外部更新影響擁有核心權限的驅動程式。蘋果當時聲稱，此舉是為了提升系統的安全性及可靠性。

微軟與CrowdStrike是競爭對手？

與蘋果相比，微軟的確好像受到了歐盟協議的制肘，才出現了「CrowdStrike更新，癱瘓視窗」一事。然而反壟斷問題，確實存在。據市場調查機構 IDC（International Data Corporation ）發表有關2022年企業端點保安（Corporate Endpoint Security）市場的報告，CrowdStrike在端點保安市場的市場份額為15.1%，排名第2；而雄據第1的是微軟，市佔率為18.9%。

若果沒有2009年歐盟協議的存在，難以想像微軟及其產品 Windows Defender for Endpoint 在企業端點保安市場的份額會有多大。

在「藍屏事件」發生後，業界有不少評論認為，微軟會以安全為由游說各國政府，把資安軟件在視窗系統上的核心權限收回。以應付分散式阻斷服務（DDoS）攻擊而聞名的資訊保安服務供應商Cloudflare，其行政總裁Matthew Prince在事發後發文直言，擔心微軟會主張把所有第三方供應商排除在作業系統之外，並向政府聲稱此乃唯一能保障安全的辦法。

Matthew稱，CrowdStrike的確把事情搞砸了，但微軟也曾在資訊保安上犯下大錯。他認為更好的安全性不應建立在集體安全（consolidated security）之上，安全性應該來自多個供應商的開放競爭，而不是應用提供商為你揀選資訊保安服務商。縱然CrowdStrike出事，這不代表微軟應該成為唯一的解決方案。

雖然Matthew發言頗有維護自身及業界利益之感，筆者亦認同資訊保安市場的開放競爭會比微軟獨大有利，畢竟競爭才能推動進步。而且，微軟一家獨大亦有可能出現重大資安問題，到時受影響的電腦數目相信會遠大於850萬部⋯⋯ 一如「SolarWind事件」，由競爭對手察覺到微軟系統出現資安問題一樣，市場上有其他競爭對手，有助降低過渡依賴微軟的風險。

同時，筆者相信今次「藍屏」事件並不會影響歐盟對反壟斷的態度，鑑於微軟現時在整個資訊保安市場上的領導地位（不單止企業端點保安市場），看不到歐盟會對2009年協議鬆口的理由。然而，「更改通道檔案」這種外部更新，在美國國會聽證會上也許會受到多方質疑。未來微軟或需擬定出另一種機制，讓資訊保安公司能進行及時、可靠的軟件更新，同時避免避免大規模死機再次發生。