上周五，CrowdStrike的更新导致全球运行微软Windows软件的电脑崩溃，设备上显示蓝屏。

　　这次突然中断导致世界各地的公司，包括几个新闻频道，无法重新启动他们的系统。

　　宕机发生后，忧心忡忡的用户立即在Reddit等论坛上报告了这个问题。一位用户提到自己陷入了启动循环，整个组织都受到了影响。

　　所以，如果你在周五早上上班时遇到了这个问题，你不是唯一一个。

　　周五04:09 UTC，作为正在进行的操作的一部分，CrowdStrike发布了一个传感器配置更新-猎鹰平台保护机制的一部分-到Windows系统。

　　此配置更新触发了一个逻辑错误，导致受影响的系统崩溃和蓝屏(BSOD)。

　　导致系统崩溃的传感器配置更新在05:27 UTC得到修复。

　　然而，这个问题不是网络攻击的结果，也与网络攻击无关。

　　运行Windows 7.11及以上版本的猎鹰传感器的客户，在周五04:09至05:27 UTC期间在线，可能会受到影响。

　　运行Windows 7.11及以上版本的猎鹰传感器的系统，从04:09 UTC到05:27 UTC下载了更新的配置，很容易发生系统崩溃。

　　上面提到的配置文件被称为“通道文件”，是猎鹰传感器使用的行为保护机制的一部分。

　　对通道文件的更新是传感器操作的正常部分，并且每天会针对CrowdStrike发现的新战术、技术和程序进行几次更新。这并不是一个新过程，因为自Falcon开始以来，该体系结构就一直存在。

　　在Windows系统上，通道文件位于以下目录:

　　C:\Windows\System32\drivers\ CrowdStrike \

　　它们的文件名以“C-”开头。每个通道文件被分配一个数字作为唯一标识符。此事件中受影响的通道文件为291，其文件名以“C-00000291-”开头，以.sys扩展名结尾。虽然通道文件以SYS扩展名结尾，但它们不是内核驱动程序。

　　通道文件291控制Falcon如何评估Windows系统上命名管道1的执行。命名管道用于Windows中正常的进程间或系统间通信。

　　发生在04:09 UTC的更新旨在针对新观察到的恶意命名管道，这些管道被常见的C2框架用于网络攻击。配置更新触发了一个逻辑错误，导致操作系统崩溃。

　　CrowdStrike通过更新通道文件291中的内容修正了逻辑错误。除了更新的逻辑之外，不会部署对通道文件291的其他更改。Falcon仍在评估和防止命名管道的滥用。

　　这与通道文件291或任何其他通道文件中包含的空字节无关。

　　最新的修复建议和信息可以在CrowdStrike的博客或其支持门户中找到。

　　CrowdStrike在其网站上表示:“我们理解一些客户可能有特殊的支持需求，我们请他们直接与我们联系。”

　　未受影响的系统将继续按预期运行，继续提供保护，并且在未来没有经历此事件的风险。

　　运行Linux或macOS的系统不使用通道文件291，因此不受影响。