Globalna awaria systemów zakończona. Co właściwie się stało?
Globalna awaria systemów Microsoftu sprawiła, że świat w wielu miejscach stanął w miejscu. Teraz problem wydaje się być rozwiązany, a wszystko wraca do normy. Co konkretnie wydarzyło się w sferze cyfrowej, że problemy były na całym świecie?
Awaria i po awarii
Piątkowy poranek 19 lipca 2024 roku zapisze się na kartach historii jako dzień, w którym świat niejako się zatrzymał. Wszystkiemu winna okazała się być globalna awaria systemów operacyjnych Microsoftu, a konkretniej Windows. Od ich działania zależało funkcjonowanie niezliczonych firm, banków i instytucji na całym świecie.
Konsekwencje były poważne, bo w krótkim czasie z anteny zniknęły duże telewizje, problemy odnotowała cała masa banków, a w Stanach Zjednoczonych przestał nawet działać numer alarmowy 911. Nie da się również pominąć problemów związanych z komunikacją i transportem. Wiele linii lotniczych nie mogło poradzić sobie bez dostępu do Microsoft 365, w efekcie czego samoloty uziemiono, a tysiące pasażerów musiało czekać na lotniskach z uwagi na opóźnione lub anulowane loty.
Awaria w Polsce
Problemy spotkały również pasażerów w Polsce, o czym informowało m.in. lotnisko im. Fryderyka Chopina. Komplikacje wynikające z globalnej awarii dotyczyły m.in. pasażerów linii Wizzair, którzy nie mogli dokonać odprawy online. Zalecono, aby przybyli na lotnisko minimum 3 godziny przed odlotem, uprzednio sprawdzając status swojego lotu:
W innych miejscach na świecie również doszło do problemów na lotniskach, a także zdjęcia z anteny dużych kanałów telewizyjnych. Zniknęło m.in. Sky News czy ABC. Teraz wszystko wydaje się być w porządku, a globalna awaria została zakończona.
Co się stało?
Powodem gigantycznych problemów na całym świecie okazała się być awaria, która pojawiła się w systemach firmy CrowdStrike. Przedsiębiorstwo zajmuje się cyberbezpieczeństwem i wdrożyło już odpowiednie procedury mające na celu uporanie się z problemami. Wiemy przynajmniej, że za awarią nie stały strony trzecie, jak np. hakerzy.
Awaria została spowodowana defektem znalezionym w aktualizacji zawartości Falcon dla hostów Windows. Nie miało to wpływu na hosty Mac i Linux. To nie był cyberatak.
"19 lipca 2024 o godzinie 04:09 UTC CrowdStrike wdrożyło aktualizację konfiguracji sensorów dla systemów Windows. To jednak spowodowało błąd powodujący awarię systemu i pojawienie się niebieskiego ekranu śmierci (BSOD) w systemach, których dotyczył problem." - wyjaśnia na własnym blogu CrowdStrike.
Warto dodać, że problem dotyczył tych hostów Windows, w których została zaimplementowana poprawka w konkretnym przedziale czasu. CrowdStrike wyjaśnia, że nastąpiło to 19 lipca między godziną 04:09 a 05:27 (UTC). W pozostałych przypadkach szkody nie powstały.
Wspomniane powyżej pliki konfiguracyjne nazywane są "Plikami kanałów" i stanowią część mechanizmów ochrony behawioralnej wykorzystywanych przez czujnik Falcon. Aktualizacje plików kanałów są normalną częścią działania i pojawiają się kilka razy dziennie w odpowiedzi na nowe taktyki, techniki i procedury wykryte przez CrowdStrike. Nie jest to nowy proces; architektura istnieje od momentu powstania Falcona.
W systemach Windows pliki kanałów znajdują się w katalogu: C:\Windows\System32\drivers\CrowdStrike\ i mają swoje unikalne identyfikatory. Ten wadliwy miał numer 291 i będzie miał nazwę zaczynającą się od "C-00000291-" i kończącą się rozszerzeniem .sys.
Naprawa oprogramowania Falcon została dokonana tego samego dnia i obecna wersja nie powoduje problemów. Choć oczywiście trzeba mieć na uwadze, że skutki wczorajszej awarii będą odczuwalne jeszcze przez jakiś czas. Działy IT zmagają się z przywracaniem dotkniętych problemem maszyn i może to trochę potrwać. Oczywiście specjaliści z firmy CrowdStrike służą tu pomocą i zachęcają do kontaktu. Wszyscy dotknięci usterką klienci zostali przeproszeni.
CrowdStrike obecnie analizuje wadliwą aktualizację i planuje udostępnić więcej informacji w momencie zakończenia "śledztwa". Zostaną one opublikowane na łamach oficjalnej strony firmy.
