Kto odpowiada za piątkową awarię? Uwaga, to nie Microsoft!

Kto odpowiada za piątkową awarię? Uwaga, to nie Microsoft!

Laptop, zdjęcie ilustracyjne
Laptop, zdjęcie ilustracyjne Źródło: Shutterstock / Tero Vesalainen
Globalna awaria systemów Windows, spowodowana aktualizacją antywirusa Falcon Sensor od CrowdStrike, zakłóciła działanie wielu firm, w tym linii lotniczych i stacji telewizyjnych.

W piątek rano miała miejsce globalna awaria systemów Microsoftu. Skutki odczuli zarówno indywidualni użytkownicy Windowsa, jak i wiele firm na całym świecie. Linie lotnicze zmuszone były odwoływać loty, stacja Sky News miała problemy z nadawaniem, a australijski operator telekomunikacyjny Telstra doświadczył zakłóceń w działaniu swoich usług.

Przyczyna problemów

Po dokładniejszej analizie okazało się, że problemy nie wynikły bezpośrednio z oprogramowania Microsoftu. Winowajcą okazała się aktualizacja antywirusa Falcon Sensor od firmy CrowdStrike. To właśnie ona była odpowiedzialna za tzw. "pętle śmierci" – sytuację, w której komputery restartowały się w nieskończoność.

Piotr Konieczny z portalu Niebezpiecznik.pl wyjaśniał w TVN24:

Przyczyną problemu nie jest oprogramowanie Microsoft, a firmy CrowdStrike. To jest antywirus nowej generacji. Tę nowość możemy obserwować na całym świecie.
”Jak doszło do awarii?

W aktualizacji antywirusa Falcon Sensor wprowadzono kod, który nie działał prawidłowo. W rezultacie, podczas uruchamiania komputerów wyposażonych w ten program, następował ciągły restart systemu.

Problem dotyczył tylko użytkowników korzystających z konkretnego antywirusa od CrowdStrike, a nie wszystkich użytkowników Windowsa. Jednakże popularność Falcon Sensor sprawiła, że awaria miała globalny zasięg. Firmy, które używały innych programów zabezpieczających, nie doświadczyły podobnych trudności.

Naprawa problemu

Naprawa komputera z Falcon Sensor od CrowdStrike teoretycznie nie jest skomplikowana – wystarczy usunąć pliki systemowe niepasujące do wzorca: C:WindowsSystem32driversCrowdStrikeC-00000291*.sys.

Jak wyjaśniał ekspert, problemem jest jednak to, że zadanie to mogą wykonać jedynie administratorzy systemu. Większość pracowników firmowych komputerów nie posiada takich uprawnień, co oznacza konieczność kontaktu z administratorami. Ze względu na charakter problemu, nie można go rozwiązać zdalnie, ponieważ komputery nie mają połączenia z internetem.

W efekcie, pracownicy muszą osobiście dostarczyć komputery do firmowych administratorów, co prawdopodobnie potrwa cały weekend, generując dodatkowe problemy. Ekspert przewiduje, że powrót do normalności może potrwać do końca przyszłego tygodnia, choć niektóre firmy mogą wznowić działanie w ciągu kilku godzin, jeśli ich systemy zostały prewencyjnie wyłączone.

Oświadczenie CrowdStrike

Prezes CrowdStrike, George Kurtz, potwierdził wszystkie te informacje, podkreślając, że problem nie dotyczył systemów Mac oraz Linux. Zaznaczył również, że nie był to atak hakerski, a problem został zidentyfikowany, wyizolowany i podjęto działania naprawcze.

CrowdStrike aktywnie współpracuje z klientami, których dotyczy defekt wykryty w pojedynczej aktualizacji zawartości dla hostów Windows. Nie ma to wpływu na hosty Mac i Linux. Nie jest to incydent związany z bezpieczeństwem ani cyberatak – mówi Kurtz.
„Problem został zidentyfikowany, wyizolowany i wdrożono poprawkę. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal zapewniać pełne i ciągłe aktualizacje na naszej stronie internetowej” – zapewnił szef CrowdStrike.

„Ponadto zalecamy organizacjom upewnienie się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów. Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike” – dodał.