全球微软蓝屏事件：25 万台设备仍未恢复，影响范围波及各行各业

摘要： 全球微软蓝屏事件：25 万台设备仍未恢复，影响范围波及各行各业波及全球的微软蓝屏事件，至今还有25万台设备没完全恢复！通过调阅故障时系统留下的崩溃转储，微软再现了崩溃发生时的场景—...

量子比特 | 官方账号

影响全球的微软蓝屏事件，25万台设备仍未完全恢复！

另据估计，崩溃的设备多达850万台，目前已修复97%，虽然修复效率看似很高，但剩下的3%仍然有多达25万台设备。

同时微软还发布了一份全面的调查报告，从技术角度概述了问题的根源，解释了安全产品为何采用内核模式驱动，以及如何在未来增强安全产品的可扩展性。

该事件影响几乎整个全球，涉及航空公司、电视广播、医疗机构、银行金融甚至奥运会等多个行业。

仅航空业就有超过5000个航班被迫取消，占全球定期航线的4.6%，美国一家航空公司甚至连续三天取消航班。

经济损失也高达数十亿美元，据数据分析机构估计，仅此次事件给世界500强企业造成的损失就高达54亿美元（约合人民币391.8亿元）。

还有一些不法分子趁机而动，以发布恶意软件为幌子，公然传播恶意软件。

网络安全专家特洛伊·亨特称其为“历史上最大的 IT 中断”。

有意思的是，此次事件发生后，外卖平台为了感谢帮助解决问题的员工和合作伙伴，发放了10美元的外卖代金券，但却被外卖平台标记为“欺诈”。

当收到优惠券的人们准备使用时，却发现优惠券已被取消，使得本来就深受影响的声誉进一步下滑。

微软的调查报告证实全球微软蓝屏事件：25 万台设备仍未恢复，影响范围波及各行各业，初步报告中提到的驱动文件正是此次事件的罪魁祸首。

进一步的分析结果显示，文件内存的越界读取是引发事故的直接原因。

随着研究的深入，第三方安全软件是否应该被赋予内核级的运行权限也引发了广泛的讨论。

核心原因：未授权的内存读取

通过分析大量的崩溃报告，微软发现这些记录都指向驱动程序.sys。

通过查看故障发生时系统留下的崩溃转储，微软重现了崩溃时的场景：

首先，通过查看崩溃线程的Trap Frame发现，引发异常的指令是对指向内存的R8寄存器的读操作。

进一步观察Trap Frame附近的指令可以发现，在读操作之前，会对R8进行一次空值检查，只有检查失败后才会进行后续的读操作。

但微软在检查R8指向的虚拟地址后发现，其指向了一个非法地址，从而导致内核访问冲突，引发崩溃。

此外，还解释了流程层面的原因——更新中的“有问题的内容数据”在发布前的测试过程中并未被检测到。

事件发生后，微软和QQ均紧急响应，调动所有技术人员，微软还派出5000余名技术人员陈华今晚就赌一个胆，每周7天、每天24小时投入处理。

经过两家公司的合作研究，针对这一问题提出了两种主要解决方案：

第一个是强力方法，即重新启动，以便更新可以在启动之前获取并覆盖坏文件。

修复程序还提到，如果重新启动一次不起作用，请再试几次。根据微软的说法，最多可能需要 15 次。

如果您无法通过重新启动获取更新， 还提供了通过网络或 USB 设备启动的工具来删除问题文件。

对于后续工作，两家公司也分别做出声明：

微软表示计划与反恶意软件生态系统合作，减少对内核驱动程序的依赖；

该公司承诺正在改变其测试和部署流程，以防止类似事件再次发生。

内核层面的操作是否应该开放？

导致崩溃的 .sys 是内核级驱动程序。

具体来说，.sys注册为文件系统过滤驱动，用于接收文件操作事件。

因此在此次事件之后，系统内核级别的操作权限是否应该向第三方开放也引发了广泛的讨论。

在微软的报告中，还解释了一些使用内核驱动进行安全防御的原因：

但同时微软也指出，该驱动程序以最高权限运行，一旦出现问题很难隔离和恢复，因此必须对驱动代码进行严格测试。

不过，网上的网友们对内核级运行模式并不认同，并指出苹果、Linux早就禁用内核级运行，改用用户级运行。

该网友表示，虽然直接原因是，但是微软并没有禁用内核操作，这为问题程序的运行提供了土壤，因此也难逃其咎。

事实上，微软此前就曾尝试禁止过它，而此次事件涉事的其实是微软的竞争对手。

不过也有网友指出，这是为了遵守欧盟的监管要求，由于微软自家的安全软件有内核级的操作，所以公平起见，必须向第三方开放。

但这种说法只对了一半，欧盟并没有要求微软向第三方开放内核运营，他们也可以选择将自己的安全产品移出内核。

当然如果仅从技术角度来分析，网友们的观点还是比较一致的，都认为内核级别的操作开放得越少越好。

微软的报告还提到2023年澳门最新资料，未来将与安全软件生态系统合作，尽量减少内核操作访问重要安全数据的需要。

还有一件事

最后我们来说一下这次事件的直接原因。

事实上，这并不是该公司的程序第一次导致操作系统崩溃。

从今年4月份到现在，四个月的时间里，该操作系统平均每个月崩溃一次。

此前三次攻击事件的受害者均为Linux内核操作系统台湾男星吸毒被妻子举报，但影响范围和受到的关注程度都无法与此次事件相比：

参考链接：

[1]

[2]

[3]

- 超过-

位年度AI主题策划正在征集中！

欢迎对专题1001个AI应用，365个AI实现方案投稿

或者和我们分享你正在寻找的AI产品，或者你发现的新的AI趋势。