Сбой CrowdStrike нарушает работу систем Microsoft по всему миру

Серьезный сбой в работе ПК с Windows в США, Великобритании, Австралии, Южной Африке и других странах был вызван ошибкой в ​​обновлении CrowdStrike Falcon Sensor, сообщила в пятницу компания облачной безопасности. Аварийные службы, аэропорты и правоохранительные органы сообщили о простоях, которые продолжаются.

«Это не инцидент безопасности или кибератака», — говорится в заявлении CrowdStrike в пятницу утром.

К вечеру пятницы CrowdStrike расширила это заявление, добавив: «Мы понимаем серьезность ситуации и глубоко сожалеем о неудобствах и сбоях» и заверив клиентов, что сама платформа CrowdStrike Falcon «работает нормально».

Синий экран смерти получил широкое распространение из-за сбоя CrowdStrike

Пострадавшие организации увидели печально известный «синий экран смерти» — предупреждение о сбое системы Windows. По данным The Verge, проблема возникла из-за обновления драйвера уровня ядра, используемого для подключения CrowdStrike к ПК и серверам Windows.

Рейсы American Airlines, United и Delta были задержаны в пятницу утром из-за проблемы, затронувшей ИТ-системы авиакомпаний. Британское СМИ Sky News сообщило об отключении собственного телевидения рано утром в пятницу. Департамент экстренной помощи Нью-Гэмпшира сообщил, что снова работает после перебоев в работе службы 911 рано утром в пятницу.

«Проблема была выявлена, изолирована и исправлено», — сообщила CrowdStrike в пятницу. Однако сообщения о сбоях на некоторых машинах, которые изначально были затронуты, все еще поступают.

Microsoft 365 сообщил о предупреждении о снижении качества обслуживания в пятницу утром, но, похоже, это отдельный инцидент.

Согласно данным, которые Gartner отправила TechRepublic по электронной почте, CrowdStrike заработала 14,74% от общего дохода от программного обеспечения для обеспечения безопасности в сегментах и ​​регионах в 2023 году. Microsoft заработала 40,16%.

SEE: По данным Splunk, простой обходится крупнейшим компаниям мира в 400 миллиардов долларов в год.

Какие шаги могут предпринять предприятия, если на них повлияет сбой в работе CrowdStrike?

Первый шаг — определить, какие хосты затронуты. Далее следуйте инструкциям CloudStrike по исправлению или восстановлению Windows.

Ранее сегодня Microsoft рекомендовала перезапустить виртуальные машины Azure, на которых работает агент CrowdStrike Falcon. Для этого может потребоваться множество перезагрузок, причем некоторые пользователи сообщают об успехе после 15 перезагрузок. Другие варианты — восстановить из резервной копии ранее 18 июля в 04:09 UTC или попытаться восстановить диск ОС с помощью восстанавливающей виртуальной машины. .

«Из-за способа развертывания обновления варианты восстановления затронутых компьютеров выполняются вручную и, следовательно, ограничены», — сказал вице-президент и главный аналитик Forrester Андраш Чер в подготовленном заявлении, отправленном по электронной почте TechRepublic. «Администраторы должны подключить физическую клавиатуру к каждой затронутой системе, загрузиться в безопасном режиме, удалить скомпрометированное обновление CrowdStrike, а затем перезагрузиться. Некоторые администраторы также заявили, что им не удалось получить доступ к ключам шифрования жесткого диска BitLocker для выполнения действий по исправлению ситуации».

CrowdStrike рекомендует своим клиентам поддерживать связь с представителями CrowdStrike. Организации, даже те, которые непосредственно не затронуты этой проблемой, должны связаться со своими SaaS-партнерами, чтобы узнать, могут ли они испытывать проблемы.

Остерегайтесь дезинформации

Поскольку этот инцидент затронул столь широкий круг крупных организаций, вероятность дезинформации высока.

«Будет много дезинформации о том, как перенастроить ваши компьютеры или какие важные системные файлы удалить», — сказал бывший эксперт АНБ по кибербезопасности Эван Дорнбуш в электронном письме TechRepublic. «Не становитесь жертвой загрузки фальшивых решений».

«Аналогично, сейчас самое время подумать об управлении паролями, поскольку исправление может в конечном итоге потребовать административного доступа к системам, которые не перезагружались в течение некоторого времени», — сказал он.

Оцените свой план восстановления и поддержите свою команду

Оцените зависимость вашей организации от одного поставщика или услуги и убедитесь, что в вашей организации имеется надежный процесс восстановления.

Это также хорошее время для руководителей ИТ-групп, чтобы убедиться, что их персонал получает необходимую поддержку.

«Это нарушение произошло в пятницу вечером в некоторых регионах, как раз когда люди направлялись домой на выходные», — отметила главный аналитик Forrester Элли Меллен в подготовленном заявлении, отправленном по электронной почте TechRepublic. «Подобные технические инциденты требуют подхода «все на палубе», и ваши команды будут работать 24/7 в течение выходных, чтобы восстановиться. Поддерживайте свои команды, обеспечивая им адекватную поддержку и перерывы на отдых, чтобы избежать выгорания и ошибок. Четко сообщайте роли, обязанности и ожидания».

Когда CrowdStrike обратились за комментариями, он направил TechRepublic на официальное заявление.

Эта статья будет обновляться по мере поступления дополнительной информации. TechRepublic обратилась в Microsoft за комментариями.