Глобальный коллапс: CrowdStrike сломала Windows по всему миру

Специализирующаяся на кибербезопасности компания CrowdStrike невольно стала причиной массовых сбоев компьютеров на базе Windows по всему миру. Недавнее обновление фирменного защитного ПО компании под названием Falcon Sensor привело к отображению «синих экранов смерти» (BSOD) буквально на всех Windows-устройствах, на которых оно было установлено.

Falcon Sensor — это программный агент, который, как утверждает CrowdStrike, «блокирует атаки на системы, фиксируя и записывая активность для быстрого обнаружения угроз». Однако в данный момент именно эта программа и стала причиной массовых сбоев.

Компания уже осведомлена о сбоях и старается как можно скорее исправить проблему. Представители CrowdStrike даже открыли ветку на Reddit , чтобы как можно скорей собрать ценную обратную связь от пользователей и лучше понять масштаб проблемы.

Исследователь информационной безопасности Трой Хант также прокомментировал ситуацию: «Происходит что-то очень странное: за последние несколько минут мне звонили несколько совершенно разных представителей СМИ, у всех внезапно возникли проблемы с синим экраном смерти на Windows. Кто-нибудь еще сталкивался с этим?».

ИБ-исследователь Кевин Бомонт сообщил : «Я получил драйвер CrowdStrike, который они запустили через автоматическое обновление. Я не знаю, как это произошло, но файл не является корректно отформатированным драйвером и каждый раз приводит к сбою Windows».

Тем временем, Броди Нисбет, один из экспертов компании CrowdStrike, в своих публикациях в социальных сетях предложил временное решение проблемы:

1. Загрузить Windows в безопасном режиме или режиме восстановления.
2. Перейти в папку C:WindowsSystem32driversCrowdStrike.
3. Найти и удалить файл, соответствующий маске «C-00000291*.sys».
4. Перезагрузить компьютер в нормальном режиме.

Нисбет также отметил, что это решение не универсальное, и оно может не подойти для всех. Однако на данный момент у него нет другой информации или рекомендаций.

Последствия массового сбоя

Неполадки с софтом CrowdStrike быстро привели к ряду серьёзных проблем в различных организациях по всему миру. Среди таких проблем, например:

• Британский телеканал Sky News прекратил вещание;
• В работе Лондонской фондовой биржи наблюдается массовый сбой;
• Технический сбой привёл к хаосу в аэропорту Сиднея и Мельбурна: стойки регистрации недоступны;
• Все рейсы нескольких крупных авиакомпаний США, включая Delta, United и American Airlines, были отменены;
• Авиакомпания Turkish Airlines также предупредила о глобальном сбое, вызвавшем серьёзные проблемы с бронированием билетов и регистрацией;
• Крупнейший железнодорожный оператор Британии Govia Thameslink Railway сообщил о сбоях и возможной отмене ЖД-рейсов.

Инцидент быстро отразился и на положении CrowdStrike на фондовом рынке. В моменте цена за акцию компании обвалилась на целых 20%, что неприлично много для изменений в рамках одного дня.

Тем временем, Россию глобальный сбой почти не затронул, так как в нашей стране антивирусный софт компании CrowdStrike практически не используется.

Представители Минцифры РФ также не упустили случая напомнить общественности, что «ситуация с Microsoft в очередной раз показывает значимость импортозамещения иностранного ПО, в первую очередь — на объектах критической информационной инфраструктуры».

Ситуация с масштабным сбоем Windows продолжает развиваться, мы обязательно опубликуем дополнительные сведения, когда об инциденте станет известно больше.

UPD: CrowdStrike опубликовала официальное заявление, в котором заверила, что выпустила исправление, устраняющее первопричину проблемы.