Infrastruktura IT i systemy bezpieczeństwa zbudowane w chmurze są świetne, dopóki jeden z nich nie zamknie Twojej firmy. Z materiałów marketingowych firmy CrowdStrike zajmującej się bezpieczeństwem cybernetycznym wynika, że przeciętny cyberprzestępca może wydobyć dane w ciągu 62 minut od włamania. Jednak pakiet cyberbezpieczeństwa firmy zajął zaledwie około trzech minut, aby całkowicie przypadkowo zamknąć wielu klientów, w tym główne linie lotnicze, linie alarmowe 911 i nie tylko. Na komputerach z systemem Windows pojawia się mnóstwo niebieskich ekranów i chociaż problem został rozwiązany, nadal pozostaje wiele do zrobienia.
Przypuszczamy, że dobra wiadomość jest taka, że przynajmniej tym razem to nie Microsoft powoduje problemy. Firma twierdzi, że o godzinie 4:09 UTC (obecnie 12:09 czasu wschodniego) zaktualizowany plik opublikowany w aktualizacji Falcon Content Update dla hostów z systemem Windows może powodować błędy niebieskiego ekranu śmierci (BSOD) lub ekrany sprawdzania błędów. Każda maszyna, która otrzymała aktualizację, a następnie została ponownie uruchomiona, przestałaby działać.
O 5:27 UTC – niecałe 90 minut później – firma przepuściła kolejną aktualizację, aby ponownie zaktualizować plik. Problem polega na tym, że w przypadku niektórych dużych części globalnej infrastruktury szkody już zostały wyrządzone. Komputery z systemem Windows 10 i 11, które otrzymały błędną aktualizację i zostały ponownie uruchomione, teraz utknęły. Nie dotyczy to użytkowników komputerów Mac i Linuksa, ponieważ wypchnięta aktualizacja była złym sterownikiem.
Uszkodzony sterownik wpływa na oprogramowanie zabezpieczające Falcon Sensor, które ładuje się bardzo wcześnie w procesie uruchamiania, powodując BSOD. CrowdStrike doradza klientom aby ponownie uruchomić komputer w trybie odzyskiwania lub trybie awaryjnym i usunąć wszystkie pliki odpowiadające „C-00000291*.sys” z katalogu WindowsSystem32driversCrowdStrike. Po normalnym ponownym uruchomieniu komputera wszystko powinno być w porządku. Naprawiony plik sterownika zostanie pobrany i zainstalowany, co umożliwi aktualizację klientów.
Niestety sprzątanie może być najtrudniejszą częścią. Wiele komputerów firmowych, szczególnie tych z systemem Windows 11, ma włączone szyfrowanie całego dysku funkcją BitLocker. Oznacza to, że uruchomienie w trybie awaryjnym lub z dysku odzyskiwania może wymagać klucza. Jeśli komputer ma konto powiązane z kontem Microsoft, prawdopodobnie klucz funkcji BitLocker jest dostępny do odzyskania. Jeśli konto jest dostępne z urządzeń innych niż firmowe, a użytkownik ma dostęp do lokalnego administratora, to świetnie. Jednak blokowanie kont na zatwierdzonych komputerach jest czymś, co może wymusić identyfikator Azure Entra ID firmy Microsoft, wcześniej znany jako Azure Active Directory. Więc to może nie być takie proste.
Niezależnie od rozwiązania, dziś rano firmy odczuły ból. Wszystkie linie Delta, United i American Airlines opublikowały na swoich kanałach w mediach społecznościowych informacje o opóźnieniach i odwołaniach lotów wynikających z tego problemu. Wszystkie trzy linie lotnicze wznowiły swoje rozkłady od chwili publikacji prasy.