Blog

Błąd w aktualizacji wydanej przez firmę zajmującą się cyberbezpieczeństwem CrowdStrike doprowadził w piątek do efektu kaskadowego w globalnych systemach informatycznych, powodując przerwy w działaniu wielu branż, od bankowości po linie lotnicze.

Banki i dostawcy usług opieki zdrowotnej odnotowali zakłócenia w świadczeniu usług, a nadawcy telewizyjni przestali działać, ponieważ firmy na całym świecie zmagały się z trwającą awarią. Podróże lotnicze również zostały mocno dotknięte, ponieważ samoloty uziemione i usługi są opóźnione.

W centrum problemu znajduje się dostawca rozwiązań cyberbezpieczeństwa z siedzibą w Teksasie CrowdStrikeW piątek firma zajmująca się cyberbezpieczeństwem doświadczyłem poważnych zakłóceń w związku z problemem z aktualizacją oprogramowania.

Co więc dokładnie się wydarzyło? Przyjrzała się temu CNBC.

Ten problem — częsty problem w komputerach PC, na przykład w przypadku przegrzania się urządzenia — był wynikiem aktualizacji firmy zajmującej się cyberbezpieczeństwem CrowdStrike dotyczące jej produktu Falcon.

Falcon to platforma opracowana przez firmę, która ma na celu zapobieganie cybernaruszeniom przy użyciu technologii chmury — jest ona w centrum zainteresowania firmy na punktach końcowych. CrowdStrike poinformował w piątek, że jest w trakcie globalnego wycofywania aktualizacji.

Oprogramowanie CrowdStrike wymaga głębokiego dostępu do systemu operacyjnego komputera, aby skanować pod kątem zagrożeń. W przypadku awarii w piątek maszyny z systemem operacyjnym Windows firmy Microsoft uległy awarii z powodu błędu w sposobie interakcji aktualizacji oprogramowania wydanej przez CrowdStrike z systemem Windows.

„Zostaliśmy poinformowani o problemie dotyczącym maszyn wirtualnych z systemem Windows Client i Windows Server, na których działa agent CrowdStrike Falcon, co może powodować wystąpienie błędu sprawdzania błędów (BSOD) [blue screen of death]) i utknęli w stanie ponownego uruchamiania. Szacujemy, że wpływ rozpoczął się około 19:00 UTC 18 lipca”, powiedział Microsoft w aktualizacji o 5:40 rano czasu wschodniego.

„Możemy potwierdzić, że problematyczna aktualizacja została wycofana przez CrowdStrike. Klienci, którzy nadal doświadczają problemów, powinni skontaktować się z CrowdStrike w celu uzyskania dodatkowej pomocy” — dodała firma.

Wcześniej Microsoft poinformował, że jego usługi w chmurze zostały przywrócony po awarii co wpłynęło na jej usługi Azure i pakiet aplikacji Microsoft 365 w regionie centralnych Stanów Zjednoczonych. Rzecznik firmy powiedział, że są to dwa różne i niezwiązane ze sobą problemy — jeden problem dotyczy Azure, drugi jest powiązany z CrowdStrike.

Dodali, że „spodziewają się rychłego rozwiązania” problemu CrowdStrike.

CrowdStrike „aktywnie współpracuje z klientami dotkniętymi wadą odkrytą w pojedynczej aktualizacji treści dla hostów Windows”, powiedział CEO George Kurtz w piątek w aktualizacji na platformie mediów społecznościowych X. Dodał, że hosty Mac i Linux nie są dotknięte.

„To nie jest incydent bezpieczeństwa ani cyberatak. Problem został zidentyfikowany, odizolowany i wdrożono poprawkę” Kurtz powiedział.

Jednak tę poprawkę trudno wdrożyć. Andy Grayland, dyrektor ds. informacji i bezpieczeństwa w firmie zajmującej się wywiadem zagrożeń Silobreaker, powiedział, że aby wdrożyć poprawkę, inżynierowie musieliby udać się do każdego indywidualnego centrum danych, w którym działają okna.

Następnie musieliby się zalogować, przejść do określonego pliku CrowdStrike, usunąć go, a następnie ponownie uruchomić cały system – dodał.

„Gdy maszyny są szyfrowane, złożone klucze szyfrujące muszą być również wprowadzane ręcznie. Jeśli Microsoft i CrowdStrike (jeśli są zaangażowani) nie wyciągną z worka czegoś cudownego, może być trudno się z tego otrząsnąć”.