在7月19日引發全球網絡動蕩的數百萬臺Windows系統電腦藍屏宕機后，CrowdStrike于當地時間8月7日發布了一份事件分析報告，從技術角度對故障原因進行了詳細闡述。

這份長達12頁的根本原因分析 (RCA)相比于在事發5天后發布的初步事故后調查 （PIR），從調查結果、緩解措施和技術細節方面均提供了更加細致的內容，但同時也暴露出這家網安巨頭企業在產品質量和測試方面存在重大瑕疵和紕漏。

一句話概括：一個令人大跌眼鏡的小錯誤引發了一場巨大災難。CrowdStrike公司調查報告發布后，不僅沒有獲得大家的諒解，反而引發全球安全人的瘋狂吐槽。

事件原因：就只是多了一個參數？

根據這份名為“通道文件 291事件”（Channel File 291 Incident）的報告內容分析，CrowdStrike 于今年2月為識別并修復最新高級威脅的Falcon 傳感器發布了7.11版本，其中包括了用于Windows 進程間通信 （IPC） 機制的新模板類型，該模板實例通過編號為 291 的相應通道文件作為快速響應內容交付給傳感器，以便查看并檢測濫用命名管線及其他 Windows 進程間通信（IPC）機制的新型攻擊技術。

報告截圖

但新的IPC模板類型定義了21個輸入參數字段，而調用帶有通道文件291模板實例的內容解釋器的集成代碼僅提供了20個輸入值進行匹配。CrowdStrike稱這種不匹配躲過了多層構建驗證和測試，造成這一情況的部分原因在于測試期間和最初的 IPC 模板實例中對第 21 個輸入值使用了通配符匹配標準。

在7月19日事發當天，CrowdStrike在更新中部署了兩個新的 IPC 模板實例，其中一個對第 21 個輸入參數采用了非通配符匹配標準，因此需要傳感器檢查第 21 項輸入參數。在將此通道文件傳送給傳感器之前，原有通道版本中的 IPC 模板實例從未使用過第 21 項輸入參數。內容驗證器評估了新的模板實例，但評估過程同樣以 IPC 模板類型能夠提供 21 項輸入為前提和基本預期。

因而，接收到攜帶問題內容的新版通道文件 291 傳感器在內容解釋器中便會存在越界讀取問題。 在操作系統發出下一次 IPC 通知時，對新的 IPC 模板實例進行了評估，指定與第 21 個輸入值進行比較，但內容解釋器預期只能處理20 個值，在嘗試訪問第 21 個值時產生了超出輸入數據數組末尾的越界內存讀取，最終導致系統崩潰。

總結下來，是在7月19日的更新當中，Falcon引入的新傳感器預計只更新20項參數，但實際輸入了21項參數，且對第21項參數缺乏非通配符匹配標準的特定測試，引發越界內存讀取導致系統崩潰。

是的，你沒有理解錯，就是單純的多個一個參數，引發了一場全球電腦集體藍屏事件。以至于被業內專家吐槽，如此糟糕的代碼，如此糟糕的產品，如此糟糕的測試。

CrowdStrike也在報告中列出了如下改進措施：

• 對模板類型輸入字段實施編譯時驗證
• 在內容解釋器中增加運行時數組邊界檢查
• 擴大模板類型測試范圍，以涵蓋更多匹配標準
• 更正內容驗證器中的邏輯錯誤
• 引入模板實例的分階段部署
• 提供客戶對快速響應內容更新的控制權

一個令網安人大跌眼鏡的錯誤

這份報告雖然很詳細地列出了故障原因，但從中暴露出的問題也引發了部分專家對這家擁有雄厚技術實力網安公司的指責。

微軟獨立安全研究員Kevin Beaumont表示，“CrowdStrike 在部署之前，頻道更新沒有在真實的 Windows PC 上進行測試，它們依賴于自動化的定制代碼測試。這一點在報告中沒有提及，而這才是導致事故的真正原因。“

工程師 Eduardo Bellani 表示，”問題的核心是一個數組越界錯誤，這是緩沖區溢出的特殊情況，在開發 Crowdstrike 系統的 C++ 語言中被視為未定義行為。對于這種關鍵性的軟件，這樣的問題不應該發生。“

他還稱：”RCA 中提出的所有技術緩解措施都只是堵塞漏洞。但安全不能以這種方式實現，此類努力需要在一開始就將安全性融入設計、工具和語言中。如果我是 Crowdstrike 的客戶，我會擔心未來。”

可見，這份長達12頁的報告，暴露了Crowdstrike在做部署時測試環節的缺位，以及沒有反映如何從根本上避免類似缺陷問題再次發生。

毫無疑問，這次事件是對安全大廠的一次徹底“祛魅”，給一些所謂安全、可靠且受眾廣泛的安全產品給予了當頭一棒，如果廠商對產品無法保證嚴格的安全測試，無法進一步牢固產品質量基礎，及時發現并修復存在的錯誤，那么下一次重大事故的發生將只是時間問題。

CrowdStrike表示，已經聘請了兩家獨立的第三方軟件安全供應商，對Falcon傳感器代碼進行進一步審查，以確保安全性和質量保證，同時還將對從開發到部署的端到端質量流程進行獨立審查。