CrowdStrike 在周五发布的技术分析报告中详细解释了发生了什么以及为什么这么多系统会同时受到影响:
上面提到的配置文件被称为“通道文件”,是用于 Falcon 传感器的行为保护机制的一部分。通道文件的更新是传感器运行的正常部分,每天会多次更新,以应对 CrowdStrike 发现的新战术、技术和程序。这并不是一个新的过程;这种架构自 Falcon 诞生以来就已经存在。
CrowdStrike 解释说,该文件不是内核驱动程序,而是负责“Falcon 如何评估 Windows 系统上命名 pipe1 的执行”。安全研究员兼 Objective See 创始人 Patrick Wardle 表示,这一解释与他和其他人先前提供的关于崩溃原因的分析一致,因为问题文件“C-00000291-”触发了一个逻辑错误,导致操作系统崩溃”(通过 CSAgent.sys)。
作为持续运营的一部分,CrowdStrike 向 Windows 系统发布了一个传感器配置更新。传感器配置更新是 Falcon 平台保护机制的一部分。然而,这次配置更新触发了一个逻辑错误,导致受影响的系统出现崩溃和蓝屏(BSOD)。
根据 Wardle 的说法,无论是否设置了阻止自动更新。CrowdStrike 的更新会被推送到电脑上。
