计算机行：CrowdStrike故障前因后果

Windows全球大范围蓝屏，由网安公司CrowdStrike更新故障导致。2024年7月19日周五，由于网络安全公司CrowdStrike发布的软件更新中的故障，导致大量运行Microsoft Windows操作系统的计算机崩溃出现蓝屏。本次故障造成的影响包括航空公司停飞航班；911线路的接线员无法应对紧急情况；医院取消了手术；零售商当天关门等。CrowdStrike是于2011年创办的网络安全公司，公司建立了CrowdStrike Falcon平台来检测威胁并阻止攻击，在终端安全市场占据较高份额。故障发生后CrowdStrike首席执行官George Kurtz在X平台上发帖，确认该问题不是网络攻击，而是由更新引起的。 据CrowdStrike官网，本次事故的原因及影响范围如下：UTC时间2024年7月19日04：09，CrowdStrike发布了与Falcon平台保护机制相关的配置文件更新，此配置更新触发了一个逻辑错误，导致系统崩溃和受影响的系统出现蓝屏。故障已于UTC时间2024年7月19日星期五05：27修复。 影响范围为Windows 7.11及更高版本的FalconSensor的客户，如果在04:09至05:27之间下载了更新的配置，则容易发生系统崩溃。上述配置文件称为“通道文件”，通道文件的更新每天进行几次，以响应CrowdStrike发现的新策略、技术和程序。运行Linux或macOS的系统不使用相应配置文件，因此不受影响。2024年7月19日美股CrowdStrike股价收盘跌11.10%。我们认为，安全软件通常要求较高的系统权限，如果安全软件本身存在漏洞也容易带来更高风险，本次CrowdStrike导致的微软系统大范围故障事件或将提升业界对网络安全的重视程度。 建议关注： 1）算力侧：寒武纪、中际旭创、新易盛、浪潮信息、海光信息、中科曙光、软通动力、协创数据、工业富联、云赛智联、神州数码、高新发展、利通电子、烽火通信等。 2）投资修复 信创：寒武纪、达梦数据、纳思达、中科曙光、金山办公、神州数码、顶点软件； 数字化龙头：海康威视、大华股份； 医疗IT：创业慧康、卫宁健康； 车路云：金溢科技、万集科技、千方科技。 3）AI相关：海康威视、中科创达、立讯精密、鹏鼎控股、金山办公、大华股份、拓尔思、润达医疗、漫步者、云天励飞、虹软科技、昆仑万维、中广天择、同花顺、科大讯飞、万兴科技、用友网络、赛意信息等。 4）自动驾驶：赛力斯、江淮汽车、长安汽车、德赛西威、中科创达、世运电路、万马科技、海天瑞声、北汽蓝谷、菱电电控、华依科技、经纬恒润、东风汽车、光庭信息等。 5）机器人：三花智控、北特科技、拓普集团、鸣志电器。 6）卫星互联网：海格通信、普天科技、创意信息、上海瀚讯等。 风险提示：经济下行超预期风险；行业竞争加剧风险。 Windows全球大范围蓝屏，由网安公司CrowdStrike更新故障导致 据纽约时报报道，2024年7月19日周五，由于网络安全公司CrowdStrike发布的软件更新中的故障，导致大量运行Microsoft Windows操作系统的计算机崩溃。此次故障的影响包括航空公司停飞航班；911线路的接线员无法应对紧急情况；医院取消了手术；零售商当天关门。 图表1：CrowdStrike更新导致Windows系统崩溃显示蓝屏 CrowdStrike公司是于2011年创办的网络安全公司，公司建立了CrowdStrike Falcon平台来检测威胁并阻止攻击。据公司官网，在2021年7月至2022年6月期间，CrowdStrike持续占据现代终端安全的最高市场份额，占86亿美元终端安全市场总量的17.7%。 据福布斯新闻，美国东部时间凌晨5点45分，CrowdStrike首席执行官George Kurtz在X平台上发帖，确认该问题不是网络攻击，而是由拙劣的更新引起的。“CrowdStrike正在积极与受Windows主机单一内容更新中发现的缺陷影响的客户合作。Mac和Linux主机不受影响。这不是安全事件或网络攻击。已发现、隔离该问题并部署了修复程序。 我们将客户推荐到支持门户以获取最新更新，并将继续在我们的网站上提供完整和持续的更新。我们进一步建议组织确保他们通过官方渠道与CrowdStrike代表进行沟通。我们的团队已全面动员起来，以确保CrowdStrike客户的安全稳定。” 图表2：CrowdStrike首席执行官回应 据CrowdStrike官网，本次事故的原因及影响范围如下： UTC时间2024年7月19日04：09，CrowdStrike发布了Windows系统的传感器配置更新，传感器配置更新是Falcon平台保护机制的持续运营部分。此配置更新触发了一个逻辑错误，导致系统崩溃和受影响的系统出现蓝屏。导致系统崩溃的配置更新已于UTC时间2024年7月19日05：27修复。 影响范围： 运行适用于Windows 7.11及更高版本的Falcon传感器的客户可能会受到影响，如果在UTC时间04:09至UTC时间05:27之间下载了更新的配置，则容易发生系统崩溃。 技术细节 上述配置文件称为“通道文件”，是Falcon传感器使用的行为保护机制的一部分。通道文件的更新每天进行几次，以响应CrowdStrike发现的新策略、技术和程序，该架构自Falcon成立之初就已存在。并且文件名以“C-”开头。每个通道文件都分配有一个数字作为唯一标识符。 此事件中受影响的通道文件为291，文件名以“C-00000291-”开头并以扩展名结尾.sys。 虽然通道文件以SYS扩展名结尾，但它们不是内核驱动程序。通道文件291控制Falcon如何评Windows系统上的命名管道执行。命名管道用于Windows中的正常、进程间或系统间通信。UTC时间04:09生的配置更新触发了逻辑错误，导致操作系统崩溃。 CrowdStrike已通过更新通道文件291中的内容纠正了逻辑错误。运行Linux或macOS的系统不使用通道文件291，因此不受影响。 2024年7月19日，美股CrowdStrike股价收盘跌11.10%，我们认为，安全软件通常要求较高的系统权限，以便能够执行其核心防护功能，同时如果安全软件本身存在漏洞也容易带来更高风险，本次CrowdStrike导致的微软系统大范围故障事件或将提升业界对网络安全的重视程度。 建议关注 1）算力侧：寒武纪、中际旭创、新易盛、浪潮信息、海光信息、中科曙光、软通动力、协创数据、工业富联、云赛智联、神州数码、高新发展、利通电子、烽火通信等。 2）投资修复 信创：寒武纪、达梦数据、纳思达、中科曙光、金山办公、神州数码、顶点软件； 数字化龙头：海康威视、大华股份； 医疗IT：创业慧康、卫宁健康； 车路云：金溢科技、万集科技、千方科技。 3）AI相关：海康威视、中科创达、立讯精密、鹏鼎控股、金山办公、大华股份、拓尔思、润达医疗、漫步者、云天励飞、虹软科技、昆仑万维、中广天择、同花顺、科大讯飞、万兴科技、用友网络、赛意信息等。 4）自动驾驶：赛力斯、江淮汽车、长安汽车、德赛西威、中科创达、世运电路、万马科技、海天瑞声、北汽蓝谷、菱电电控、华依科技、经纬恒润、东风汽车、光庭信息等。 5）机器人：三花智控、北特科技、拓普集团、鸣志电器。 6）卫星互联网：海格通信、普天科技、创意信息、上海瀚讯等。 风险提示 经济下行超预期风险：若宏观经济景气度下行，对整个行业将会造成不利影响。 行业竞争加剧风险：若相关企业加快技术迭代和应用布局，整体行业竞争程度加剧，将会对目前行业内企业的增长产生威胁。