CrowdStrike最新更新触发Windows蓝屏事件，微软深入解析故障核心缘由

7月29日消息，CrowdStrike与微软在过去十天里紧密合作，以缓解因CrowdStrike错误更新导致的大范围Windows系统蓝屏故障问题。故障根源已被识别为CrowdStrike的CSagent驱动程序中的内存安全漏洞，具体表现为越界读取访问冲突所引发的蓝屏现象。

CrowdStrike不仅提供了问题解决方案，还发布了详细的事故后审查初步报告，力求透明化处理此次事件并防止未来类似情况的发生。

微软昨天发布了对 CrowdStrike 驱动程序导致的此次宕机的详细技术分析。微软的分析证实了 CrowdStrike 的发现，即崩溃是由 CrowdStrike 的 CSagent.sys 驱动程序中的越界内存安全错误引起的。csagent.sys 模块在 Windows 电脑上注册为文件系统过滤器驱动程序，以接收有关文件操作（包括创建或修改文件）的通知，这允许包括 CrowdStrike 在内的安全产品扫描保存到磁盘的任何新文件。

事件发生时，微软因允许第三方软件开发商进行内核级访问受到了大量批评。在博客文章中，微软解释了为何为安全产品提供内核级访问：

内核驱动程序允许系统范围内的可见性，并能够在启动过程早期加载，以检测启动套件和根套件等威胁，这些威胁可以在用户模式应用程序之前加载。

微软提供系统事件回调、文件过滤器驱动程序等功能。

内核驱动程序可为高吞吐量网络活动等情况提供更好的性能。

安全解决方案希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用，即使这些攻击者具有管理员权限。为此，Windows 在启动早期提供早期启动反恶意软件（ELAM）。

然而，内核驱动程序也需要权衡，因为它们在 Windows 最可信的级别运行，增加了风险。微软还致力于将复杂的 Windows 核心服务从内核模式迁移到用户模式，例如字体文件解析。微软建议安全解决方案提供商在可视性和防篡改需求与内核模式操作风险之间取得平衡。例如，他们可以使用在内核模式下运行的最小传感器进行数据收集和执行，从而限制对可用性问题的暴露。其余功能，如管理更新、解析内容和其他操作，可以在用户模式下隔离进行。

在博客文章中，微软还解释了 Windows 操作系统的内置安全功能。这些安全功能提供了多层保护，防止恶意软件和攻击企图。微软将通过微软病毒计划（MVI）与反恶意软件生态系统合作，利用 Windows 内置安全功能进一步提高安全性和可靠性。

微软目前计划：

提供安全部署指南、最佳实践和技术，使安全产品更新更安全。

减少内核驱动程序访问重要安全数据的需要。

通过最近宣布的 VBS 孤岛等技术提供增强的隔离和防篡改功能。

启用零信任方法，如高完整性认证，该方法可根据 Windows 原生安全功能的健康状况确定机器的安全状态。

截至 7 月 25 日，受此问题影响的 Windows 电脑已超过 97% 恢复在线，微软现在正着眼于防止未来出现此类问题。微软 Windows 程序管理副总裁 John Cable 最近发表了一篇关于 CrowdStrike 问题的博客文章，其中提到 Windows 必须优先考虑端到端弹性的变化和创新，这正是客户对微软的期望。

微软全球范围遭遇大规模故障，Windows、Office陷运行停滞，多国受影响

7月19日消息，Windows系统遭遇大规模蓝屏事件，实际上这只是微软遇到的技术问题的表面现象。据微软官方表示，其应用程序正面临一个全球范围内广泛传播的故障，影响深远。

今天微软发布消息称，旗下Microsoft 365系列服务出现访问中断，受影响的包括但不限于Microsoft 365各个应用，以及微软Xbox等。

根据微软官方消息，故障始于美国中部的Azure区域数据中心，目前微软的策略是将流量路由到其他未受影响的区域尝试恢复。

据悉，自当地时间7月18日21:56 开始，部分客户可能会遇到美国中部地区多个Azure服务的问题。

上述情况有多严重？西日本旅客铁道公司（JR西日本）列车行驶位置信息因Windows系统故障导致无法获取，澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等也受到影响。

目前，美国微软正在调查问题发生原因并寻求解决。

微软财报透露Xbox游戏跨平台战略：应对硬件销量下滑，加大内容服务扩展

微软2024财年第四季度财报显示，Xbox硬件销量下降42%，公司随即宣布将重点加强内容与服务的发展。在财报电话会议中，微软CEO萨蒂亚·纳德拉和CFO Amy Hood强调，游戏内容的广泛推广是为了触及更多玩家群体，实现Xbox游戏与更多平台的融合，包括PlayStation。

纳德拉表示，微软致力于游戏内容的创新与拓展，旨在将Xbox及游戏机内容带给更广泛受众。Hood则提及，公司的长远规划是拓宽全球市场覆盖，侧重于软件订阅和服务，增强交易与IP掌控力，通过多元化内容吸引用户。

以《辐射》系列为例，纳德拉说明微软正探索多元渠道，如电视节目等，以触达全新受众，展现其IP跨平台推广的决心。

微软确认Office应用打字崩溃故障，正积极寻求解决方案

8 月 16 日消息，微软官方于此前更新了其支持文档，正式确认包括Outlook、Word、OneNote在内的Office系列应用中存在漏洞，这些故障可能导致用户在进行文本输入、拼写检查或其他文案编辑活动时遇到程序意外崩溃的问题。用户需留意此公告，并留意微软后续发布的修复更新。

微软表示 Office Version 2407，Build 17830.20138 以及后续版本均存在上述问题，在事件日志查看器中会记录为 Event 1000 或者 Event 1001。

援引支持文档，微软表示之所以出现上述问题，其根源可能在于语言包过时：

如果语言包版本没有更新到当前版本，可能会出现这个问题。用户可以检查 C:\Program Files\Microsoft Office\root\Office16\ mscss7xx.dll 的版本，理论上版本号应该是与 Office 版本密切匹配，但可能出现不完全匹配的情况。

微软指责达美航空拒援，IT设施陈旧致系统困境

8月7日消息，微软就达美航空对其及CrowdStrike的指责发表官方回应，指出在达美航空遭遇重大IT系统故障后，公司曾主动提出无偿援助，却被达美多次拒绝。甚至微软高层，包括CEO萨提亚·纳德拉的直接沟通也被忽略。此次故障估测给达美造成约5亿美元（折合约35.77亿人民币）的经济损失，而微软的声明为此事件增添了新的争议点。

微软律师事务所 Dechert 的全球诉讼业务联席主席切福在代表微软致达美航空律师的信中表示：“微软对达美航空及其客户因 CrowdStrike 事件受到的影响表示同情，但您的信函和达美航空的公开言论不完整、虚假、误导且损害了微软及其声誉。”

这封信旨在对巴斯蒂安上周接受 CNBC 采访时的言论进行反驳。巴斯蒂安当时称微软系统脆弱，并称“苹果最近有过如此大规模的故障吗？”他还透露，公司超过 4 万台服务器受到了 CrowdStrike 错误更新的影响。但微软的信件暗示，达美的问题可能远不止 Windows 服务器故障。

切福在信中表示：“尽管微软的软件并未导致 CrowdStrike 事件，但在 7 月 19 日故障发生后，微软立即介入并主动提出免费协助达美。从 7 月 19 日到 7 月 23 日的每一天，微软员工多次重复提出向其提供援助，但达美每次都拒绝了微软的帮助，尽管微软不会为此收取任何费用。”

微软还声称，7 月 22 日，一名员工联系达美航空，表示愿意提供任何帮助，但同一天，达美航空的一名员工回复称情况“一切良好”，而就在当天，达美航空取消了 1100 多个航班，第二天又取消了 500 多个航班。

切福写道：“微软的高级管理层也多次伸出援手，帮助达美航空的对应人员，但结果相似。其中，7 月 24 日（星期三），微软 CEO 纳德拉给达美航空 CEO 巴斯蒂安发了一封电子邮件，但未获回复。”

由于达美航空是美国奥运代表队的官方航空公司，巴斯蒂安当时可能忙于飞往巴黎奥运会，错过了纳德拉的邮件。在 CrowdStrike 故障导致大量航班取消的情况下，达美航空不得不紧急履行对美国队的承诺，及时将运动员送往巴黎。

微软认为，达美航空拒绝其免费帮助是因为他们实际上在努力恢复非 Windows 系统。“越来越明显的是，达美航空可能拒绝微软的帮助，因为其最难恢复的 IT 系统 —— 机组人员跟踪和调度系统 —— 是由其他技术提供商（如 IBM）提供服务的，因为它运行在这些提供商的系统上，而不是微软的 Windows 或 Azure。”微软的信中写道。

这表明达美的 Windows 系统受到了 CrowdStrike 故障的影响，这些故障进而影响了由 IBM 等公司提供服务的 IT 基础设施。微软表示，达美航空“显然没有对其 IT 基础设施进行现代化改造”，因此受到 CrowdStrike 故障的影响比美国航空或联合航空等竞争对手更大。

与 CrowdStrike 一样，微软也要求达美航空保留与 CrowdStrike 故障相关的文件。该公司还希望这家航空公司保留与运行在 IBM、Oracle、亚马逊网络服务、Kyndryl 和其他技术混合平台上的机组人员跟踪和调度系统故障相关的所有信息。微软表示，如果达美航空选择诉讼，公司将“坚决捍卫自己的权益”。

本周早些时候，CrowdStrike 也声称对达美的数日停运不负责任，并表示达美也拒绝了其现场援助。达美航空目前正在接受美国运输部的调查，以了解其处理恢复工作的状况。