VMware旗下的Carbon Black端点安全解决方案团队在周二(8/23)更新了Cloud Sensor规则集,却造成部分客户的Windows计算机宕机并出现蓝色死亡屏幕(BSOD),使得该团队当天便回滚了该规则集。
VMware是在2019年买下Carbon Black,Carbon Black主要开发基于云计算的端点安全软件,利用大数据及云计算分析平台,分析客户数据以侦测与防范恶意行为,可于Windows、macOS及Linux等端点设备上安装Carbon Black Cloud sensor。
有一名英国用户在Reddit上透露,在英国时间23日下午3点时(大约为晚上10点),该组织有500台端点设备出现蓝色死亡屏幕。
根据Carbon Black团队的说法,造成此事的原因是他们在当天更新了威胁研究规则集至多个云计算区域,而让Windows设备开机后就进入蓝色死亡屏幕,或是出现停止代号”PFN_LIST_CORRUPT”。
该意外影响所有版本的Carbon Black Cloud Console,3.6.x.x至3.7.x.x的Carbon Black Cloud Sensor,以及所支持的所有Windows版本。
Carbon Black团队表示,由于他们已回滚了规则集,当设备发现并更新时便会自动解决该问题,暂时性的补救措施则是通过Carbon Black Cloud Console把受影响的传感器置入旁路模式(Bypass Mode),以让设备能够成功启动并移除规则集,但有少部分设备可能需要在启动时进入安全模式(Safe Mode)才能解决。