技术细节

在 Windows 系统上，频道文件位于以下目录中：

C:\Windows\System32\drivers\CrowdStrike\

并且文件名以“ C-”开头。每个通道文件都分配有一个数字作为唯一标识符。此事件中受影响的通道文件为 291，文件名以“ C-00000291-”开头并以扩展名结尾.sys。虽然通道文件以 SYS 扩展名结尾，但它们不是内核驱动程序。

通道文件 291 控制 Falcon 如何评估 Windows 系统上的命名管道执行。命名管道用于 Windows 中的正常、进程间或系统间通信。

UTC 时间 04:09 发生的更新旨在针对新发现的常见 C2 框架在网络攻击中使用的恶意命名管道。配置更新触发了逻辑错误，导致操作系统崩溃。

频道文件 291

CrowdStrike 已通过更新通道文件 291 中的内容纠正了逻辑错误。除了更新后的逻辑之外，不会对通道文件 291 进行任何其他更改。Falcon 仍在评估和防止滥用命名管道。

这与通道文件 291 或任何其他通道文件中包含的空字节无关。

www dot crowdstrike dot com  /blog/technical-details-on-todays-outage/
--
修改:z16166 FROM 221.218.161.*
FROM 221.218.161.*