Microsoft เผยสาเหตุหลักของการขัดข้องของ CrowdStrike

Microsoft เผยสาเหตุหลักของการขัดข้องของ CrowdStrike


เมื่อวันที่ 28 กรกฎาคม 2024 Microsoft ได้อธิบายถึงสาเหตุหลักของการขัดข้องที่เกิดขึ้นกับ CrowdStrike โดยในช่วง 10 วันที่ผ่านมา CrowdStrike และ Microsoft ได้ทำงานร่วมกันอย่างหนักเพื่อช่วยเหลือลูกค้าที่ได้รับผลกระทบจากปัญหา Windows BSOD ขนาดใหญ่ที่เกิดจากการอัปเดต CrowdStrike ที่มีปัญหา ซึ่ง CrowdStrike ได้เผยแพร่รายงานการตรวจสอบเบื้องต้นสำหรับการขัดข้องนี้ จากรายงานระบุว่าปัญหา BSOD เกิดจากปัญหาความปลอดภัยของหน่วยความจำ ซึ่งไดรเวอร์ CSagent ทำการอ่านที่อยู่นอกขอบเขตของหน่วยความจำ

เมื่อวานนี้ทาง Microsoft ได้เผยแพร่การวิเคราะห์ทางเทคนิคโดยละเอียดของการขัดข้องนี้ โดยยืนยันผลการตรวจสอบของ CrowdStrike ว่าการขัดข้องเกิดจากความผิดพลาดในการเข้าถึงหน่วยความจำที่อยู่นอกขอบเขตในไดรเวอร์ CSagent.sys ซึ่งไดรเวอร์ csagent.sys ถูกลงทะเบียนใน Windows PC เป็นไดรเวอร์ตัวกรองระบบไฟล์เพื่อรับการแจ้งเตือนเกี่ยวกับการดำเนินการของไฟล์ รวมถึงการสร้างหรือการแก้ไขไฟล์ ซึ่งช่วยให้ผลิตภัณฑ์ด้านความปลอดภัยเช่น CrowdStrike สามารถสแกนไฟล์ใหม่ที่บันทึกลงในดิสก์ได้

เมื่อเกิดเหตุการณ์นี้ขึ้น มีการวิพากษ์วิจารณ์อย่างมากเกี่ยวกับการที่ Microsoft ที่อนุญาตให้นักพัฒนาซอฟต์แวร์บุคคลที่สามเข้าถึงระดับเคอร์เนล ในโพสต์บล็อก Microsoft อธิบายว่าทำไมพวกเขาจึงเสนอการเข้าถึงระดับเคอร์เนลสำหรับผลิตภัณฑ์ด้านความปลอดภัย:

  • ไดรเวอร์เคอร์เนลช่วยให้เห็นภาพรวมของระบบและสามารถโหลดได้ตั้งแต่เริ่มกระบวนการบูตเพื่อค้นหาภัยคุกคามเช่น boot kits และ root kits
  • Microsoft นำเสนอคุณสมบัติต่างๆ เช่น การเรียกกลับเหตุการณ์ของระบบสำหรับกระบวนการและการสร้างเธรด ไดรเวอร์ตัวกรองไฟล์ และอื่นๆ
  • ไดรเวอร์เคอร์เนลมีประสิทธิภาพดีกว่าสำหรับกรณีเช่นกิจกรรมเครือข่ายที่มีการส่งผ่านข้อมูลสูง
  • โซลูชันด้านความปลอดภัยต้องการให้แน่ใจว่าซอฟต์แวร์ของตนจะไม่ถูกปิดใช้งานโดยมัลแวร์ การโจมตีแบบเจาะจง หรือผู้ใช้ที่ไม่ประสงค์ดี แม้ว่าผู้โจมตีเหล่านั้นจะมีสิทธิ์ระดับผู้ดูแลระบบก็ตามด้วยเหตุนี้ Windows จึงเสนอ Early Launch Antimalware (ELAM) ในช่วงต้นของกระบวนการบูต

แม้ว่าไดรเวอร์เคอร์เนลจะมีความเสี่ยงเพราะทำงานในระดับที่มีความเชื่อถือสูงที่สุดของ Windows แต่ Microsoft ก็กำลังพยายามย้ายบริการหลักของ Windows จากเคอร์เนลไปยังโหมดผู้ใช้ เช่น การแยกวิเคราะห์ไฟล์ฟอนต์

Microsoft ได้วางแผนสิ่งต่อไปนี้ไว้แล้ว:

Microsoft แนะนำให้ผู้ให้บริการโซลูชันความปลอดภัยสร้างสมดุลระหว่างความต้องการการมองเห็นและการป้องกันการปลอมแปลงกับความเสี่ยงของการทำงานในโหมดเคอร์เนล ตัวอย่างเช่น ผู้ใช้สามารถใช้เซ็นเซอร์ที่ทำงานในโหมดเคอร์เนลน้อยที่สุดสำหรับการรวบรวมข้อมูลและการบังคับใช้ ซึ่งจะช่วยจำกัดการเปิดเผยต่อปัญหาการพร้อมใช้งาน คุณสมบัติอื่นๆ เช่น การจัดการการอัปเดต การแยกวิเคราะห์เนื้อหา และการดำเนินการอื่นๆ สามารถเกิดขึ้นแยกกันภายในโหมดผู้ใช้

ในบล็อกโพสต์ Microsoft ยังได้อธิบายคุณสมบัติด้านความปลอดภัยในตัวของระบบปฏิบัติการ Windows ที่ช่วยเพิ่มชั้นการป้องกันจากมัลแวร์และการโจมตี Microsoft จะทำงานร่วมกับระบบนิเวศของโปรแกรมป้องกันมัลแวร์ผ่าน Microsoft Virus Initiative (MVI) เพื่อใช้ประโยชน์จากคุณสมบัติความปลอดภัยในตัวของ Windows เพื่อเพิ่มความปลอดภัยและความน่าเชื่อถือ

แผนการในอนาคตของ Microsoft

  • ให้คำแนะนำเกี่ยวกับการเปิดตัวที่ปลอดภัย วิธีปฏิบัติที่ดีที่สุด และเทคโนโลยีเพื่อทำให้อัปเดตผลิตภัณฑ์ความปลอดภัยมความปลอดภัยมากยิ่งขึ้น
  • ลดความจำเป็นของไดรเวอร์เคอร์เนลเพื่อเข้าถึงข้อมูลความปลอดภัยที่สำคัญ
  • มอบความสามารถในการแยกและป้องกันการดัดแปลงที่ปรับปรุงดีขึ้นด้วยเทคโนโลยี เช่น VBS enclaves ที่ประกาศล่าสุด
  • เปิดใช้งานแนวทางศูนย์ความเชื่อถือ เช่น การรับรองความสมบูรณ์สูง ซึ่งให้วิธีการกำหนดสถานะความปลอดภัยของเครื่องโดยอิงจากความสมบูรณ์ของฟีเจอร์ของ Windows

ขณะที่พีซี Windows กว่า 97% ที่ได้รับผลกระทบจากปัญหานี้กลับมาออนไลน์ได้อีกครั้งในวันที่ 25 กรกฎาคม แต่ขณะนี้ Microsoft กำลังมองไปข้างหน้าเพื่อป้องกันไม่ให้เกิดปัญหาเช่นนี้ในอนาคต John Cable รองประธานฝ่ายการจัดการโปรแกรม Windows ของ Microsoft กล่าวในโพสต์บล็อกเกี่ยวกับปัญหาของ CrowdStrike ว่า Windows ต้องให้ความสำคัญกับการเปลี่ยนแปลงและนวัตกรรมในด้านความยืดหยุ่นที่ครบวงจร ซึ่งเป็นสิ่งที่ลูกค้าคาดหวังจาก Microsoft

สรุป

Microsoft ได้อธิบายถึงสาเหตุหลักของปัญหา Windows BSOD ที่เกิดจากการอัปเดต CrowdStrike โดยยืนยันว่าปัญหาเกิดจากข้อผิดพลาดในการเข้าถึงหน่วยความจำในไดรเวอร์ CSagent.sys ซึ่งใช้สำหรับการสแกนไฟล์ใหม่ที่บันทึกลงในดิสก์ ขณะที่ 97% ของคอมพิวเตอร์ Windows ที่ได้รับผลกระทบกลับมาออนไลน์แล้ว Microsoft กำลังมองไปข้างหน้าเพื่อป้องกันปัญหานี้ในอนาคต โดยเน้นการเปลี่ยนแปลงและนวัตกรรมเพื่อเพิ่มความยืดหยุ่นของระบบ

 

ที่มา neowin


ตัวกรองวิดีโอพร้อมใช้งานอย่างเป็นทางการสำหรับ Microsoft Teams เพื่อความสร้างสรรค์ในการประชุม
สมาชิก Microsoft Teams บางรายที่เข้าร่วมแฮงเอาท์วิดีโอจะมีวิธีใหม่ๆ ในการแสดงออกกับผู้เข้าร่วมการประชุมคนอื่นๆ ในเร็วๆ นี้วันนี้ Microsoft ประกาศว...
Office 2024 vs Microsoft 365 ตัวเลือกไหนที่เหมาะกับองค์กรของคุณ?
การตัดสินใจเลือกโซลูชันที่เหมาะสมสำหรับการทำงานขององค์กรไม่ใช่เรื่องง่าย เมื่อพูดถึง Office 2024 และ Microsoft 365 ทั้งสองโซลูชันมีความโดดเด่นและฟีเ...

Invoice
024609292
Line
Company