由于 VMware 的 Carbon Black 端点安全解决方案的某些版本引起的问题,今天早些时候,数十家组织的 Windows 服务器和工作站开始崩溃。
根据一些报道,今天 15:00 (GMT+1) 后,50 多个组织的系统开始显示可怕的蓝屏死机 (BSOD)。
错误的 AV 规则集
问题的根源是今天部署到 Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398 的规则集导致设备在启动时崩溃并显示蓝屏,拒绝访问它们。
受此问题影响的 Microsoft Windows 操作系统包括 Windows 10 x64、Server 2012 R2 x64、Server 2016 x64 和 Server 2019 x64。
在受此问题影响的系统上,停止代码可能会将错误标识为“PFN_LIST_CORRUPT”。
错误规则集导致的 BSOD
来源:ZZQIDC
S-RM Cyber 的事件响应者 Tim Geschwindt 告诉 ZZQIDC,从 15:30 (GMT+1) 开始,客户开始抱怨他们的服务器和工作站崩溃,并怀疑 Carbon Black 有问题。
经过调查,研究人员确定所有运行 Carbon Black sensor 3.7.0.1253 的客户端都受到了影响。“他们根本无法启动任何设备。完全不行,”Geschwindt 说。
VMware Carbon Black 的 BSOD 影响了数十个组织
来源:Tim Geschwindt
一位管理员 说 ,他们“从英国时间大约 15:15 开始,在我们的房地产中大约有 500 个端点蓝屏死机”。
Carbon Black 和 AV 签名包 8.19.22.224 之间似乎存在冲突。
VMware 在今天的知识库中解释说:“在内部测试没有发现问题迹象后,更新的威胁研究规则集已推广到 Prod01、Prod02、ProdEU、ProdSYD 和 ProdNRT。”
目前正在进行调查,正在回滚麻烦的规则集,预计这将消除问题。
作为临时解决方法,VMware 建议通过 Carbon Black Cloud Console 将传感器置于旁路模式。这使受影响的设备能够成功启动,从而可以删除错误的规则集。
VMware 建议遇到此问题的客户打开支持案例并包含以下信息:Org_Key、设备名称、设备 ID 和操作系统。
更新 [8 月 23 日,17:50]:VMware 在发布文章后不久为ZZQIDC提供了以下声明:
“VMware Carbon Black 发现了一个影响有限数量客户端点的问题,其中某些较旧的传感器版本受到我们行为预防功能更新的影响。该问题已被识别并纠正,VMware Carbon Black 正在与受影响的客户合作。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VMware Carbon Black在Windows上导致BSOD崩溃
