19 июля произошёл глобальный сбой в работе ПК и серверов на Windows по всему миру. Ряд устройств выдавал синий экран смерти (BSOD) и уходил в бесконечную перезагрузку. Поводом для сбоя стало обновление системы защиты от кибератак Falcon Sensor производства американской компании в сфере информационной безопасности CrowdStrike. Неполадки затронули IT-инфраструктуру многих компаний, банков и аэропортов по всему миру.

Издание CNET указывает, что последний аналогичный по масштабам сбой произошёл в июне 2021 года. Тогда нарушения в инфраструктуре облачной платформы провайдера сети доставки контента Fastly привели к возникновению проблем у многих компаний и сервисов, включая Twitter, Amazon, Reddit, Spotify, eBay, Twitch, Pinterest и другие. Летом 2021 года проблемы наблюдались в течение 45 минут.

Неисправное программное обеспечение от CrowdStrike затронуло 8,5 млн устройств по всему миру или менее 1% от всех устройств, использующих Windows, сообщили в Microsoft. В корпорации из Редмонда назвали процент небольшим, но социальные и экономические последствия — широкими.

На фоне сбоя стоимость акций Microsoft упала на 3%, а CrowdStrike — на 18%.

CrowdStrike стоимостью $80 млрд базируется в Остине, штат Техас. Компания наиболее известна расследованием масштабных киберинцидентов, таких как атаки на Sony Pictures и Национальный комитет Демократической партии США. Фирму основали в 2011 году.

Что произошло

Причинами сбоя стало обновление ПО CrowdStrike и его ошибка при взаимодействии с сервисами Microsoft, в том числе с Microsoft 365 и облачной платформой Microsoft Azure. Работу систем частично восстановили, но у некоторых пользователей продолжают возникать проблемы.

Генеральный директор CrowdStrike Джордж Курц поспешил заверить, что сбой не был вызван проблемами с безопасностью или кибератакой. Он сообщил, что проблему выявили, изолировали и применили меры по её решению. Курц добавил, что причиной сбоя стало обновление для хостов Windows, поэтому пользователей macOS и Linux проблемы не коснулись. Дефект в коде был в одном обновлении контента для хостов Windows, пояснил глава компании.

Официальные лица Великобритании, Турции и Франции также считают, что сбой не был вызван кибератакой.

CrowdStrike отчиталась об обнаружении и исправлении проблемы. Компания направила клиентов на портал поддержки для получения последних обновлений. Для исправления BSOD на Windows 10 можно обратиться к инструкции. Представители CrowdStrike открыли ветку на Reddit, посвящённую синему экрану смерти после сбоя.

Эксперты из Microsoft вовсе сообщили, что исправить BSOD можно путём перезагрузки компьютера 15 раз подряд. Такое решение предназначено для системных администраторов виртуальных машин, использующих Azure и столкнувшихся с глобальным сбоем в работе ПК и серверов на Windows.

Позже Microsoft отчиталась о возвращении к корректной работе Microsoft Defender, Microsoft Intune, Microsoft OneNote, OneDrive for Business, SharePoint Online, Microsoft 365, Viva Engage и Microsoft Purview. Однако проблемы существовали при использовании PowerBI, Microsoft Fabric, Microsoft Teams и Microsoft 365 admin center.

Продукт Falcon Sensor обеспечивает сверхточное обнаружение и автоматическую защиту от возможных угроз кибербезопасности в режиме реального времени. Проблема была в коде ПО для рабочих станций. Обновление файлов «C-00000291*.sys» в папке «C:\Windows\System32\drivers\CrowdStrike» привело к BSOD сотен тысяч ПК в мире. Первопричину глобального сбоя устранили.

Текущее решение от производителя:

Workaround Steps:
Boot Windows into Safe Mode or the Windows Recovery Environment
Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
Locate the file matching “C-00000291*.sys”, and delete it.
Boot the host normally.

Самые актуальные рекомендации и информацию по устранению неполадок CrowdStrike рекомендует получить в своём блоге или на портале поддержки.

Обновление ПО CrowdStrike вывело из строя серверные сборки на Debian и Rocky Linux в апреле и мае текущего года, однако на это обратили внимание лишь несколько клиентов. ИБ-разработчики неделями тянули с закрытием тикетов и выдавали клиентам отписки, долго выпуская нужный патч. Ещё тогда пользователи отметили неудовлетворительный уровень тестирования и техподдержки CrowdStrike.

Защитными сервисами разработчика пользуются 29 тыс. компаний в мире, включая 500 из списка Fortune 1000. Стало известно, что большая часть клиентов компании предпочитает Windows, а техподдержка CrowdStrike быстро реагирует только при глобальной проблеме.

Последствия

Проблемы после сбоя CrowdStrike возникли в системах организаций многих стран, включая США, Великобританию, страны ЕС, Индию, Новой Зеландию и Австралию. Речь идёт об отменах авиарейсов и направлений в больницы, блокировках выплат заработных плат, прекращении вещания телеканалов и многом другом.

Многочисленные авиакомпании приостановили полёты 19 июля, в том числе три крупнейших американских перевозчика: United Airlines, Delta Air Lines и American Airlines. В United уточнили, что задержат самолёты в аэропортах до восстановления систем. Другие авиакомпании США — Frontier, Allegiant и Spirit — также приостановили полёты из-за сбоя систем Microsoft.

Проблемы наблюдались и Европе: ирландская авиакомпания Ryanair посоветовала пассажирам прибывать на посадку заранее из-за «сбоя во всей сети». Решение приостановить работу приняли и в нидерландской KLM — отключение систем сделало невозможным обслуживание рейсов.

Также о проблемах в работе сообщили авиакомпании British Airways, Wizz Air, Turkish Airlines, Eurowings, Lufthansa и Qantas. По данным аналитической компании Cirium, 19 июля по всему миру было отменено около 7 тыс. авиарейсов — 6,2% от всех запланированных по миру.

Представители аэропортов Белфаста и Сингапура рассказали, что из-за появления BSOD на табло сотрудники использовали белые доски и надписи маркером для информировании о рейсах. К аналогичным мерам прибегли в Индии. В некоторых странах авиабилеты заполняли от руки. Позже системы восстановили. Guardian пишет, что неполадки коснулись систем аэропортов от Амстердама до Цюриха и от Сингапура до Гонконга.

Четвёртую по величине авиакомпанию США Southwest Airlines сбой не затронул, поскольку перевозчик использует Windows 3.1 в своих системах. Выпущенная в 1992 году операционная система не получает обновлений. Также Southwest использует Windows 95 для своей системы планирования персонала.

Полиция Аляски сообщила, что глобальный сбой коснулся линии экстренной связи в штате.

В Великобритании пострадали системы здравоохранения, которые врачи используют для записи на приём, просмотра историй болезни пациентов, заказа рецептов и выдачи направлений. Минимум две немецкие больницы отменили плановые операции. Министерство здравоохранения Израиля объявило, что глобальный сбой коснулся 16 больниц. Также инцидент повлиял на работу банков, почтовой службы и систем экстренной помощи.

Недоступной оказалась информация о прибытии поездов метрополитена города Нью-Йорк. Однако на движении поездов сбой не сказался, но затруднил возможность сотрудников метрополитена видеть местоположение составов. Британская железнодорожная компания Govia Thameslink Railway (управляет Southern, Thameslink, Gatwick Express и Great Northern) предупредила пассажиров о возможных задержках прибытия поездов.

Британский телеканал Sky News прервал вещание после возникшего сбоя Windows. Канал переключился на демонстрацию архивных кадров и короткое время показывал сообщение об ошибке. Также проблемы возникли у индийского NDTV, австралийских Channel 10, SBS, ABC и других каналов.

Неполадки появились на сайте Лондонской фондовой биржи, что сделало невозможным публикацию новостей. Другие сервисы биржи продолжили работать в штатном режиме.

В Японии приостановила работу примерно треть ресторанов быстрого питания McDonald’s. Проблема была связана с неполадками кассовых аппаратов сети. Также от сбоя пострадала австралийская сеть продуктовых магазинов Woolworths.

Американские компании в сфере доставки FedEx и UPS предупредили о задержках выполнения заказов из-за сбоя. Проблемы появились в системах ряда государственных ведомств США.

Глава Tesla Илон Маск заявил, что сбой парализовал цепочку поставок автомобилей. Он сообщил, что автокомпания прекратила использовать ПО CrowdStrike и удалила его из всех своих систем.

Британские пользователи рассказали о проблемах с услугами Visa и BT, а также супермаркетов, банков и игровых онлайн-платформ. Metro Bank указал на проблемы со связью в Великобритании, а в Santander заявили о проблемах с платежами по картам.

Проблемы в работе банков и платёжных систем возникли в Австралии и Новой Зеландии. С перебоями в работе банкинга и осуществления электронных платежей столкнулись клиенты National Australia Bank, Bendigo Bank, Commonwealth Bank of Australia, Bank of New Zealand, ASB Bank и других банков.

Эксперт в области кибербезопасности и региональный директор Microsoft в Австралии Трой Хант назвал масштаб последнего сбоя беспрецедентным. По его словам, инцидент можно назвать крупнейшим сбоем в IT-сфере за всю историю.

Эксперты Британского компьютерного общества (BCS) прогнозировали, что восстановление систем может занять дни и даже недели. Возникновение BSOD и бесконечных загрузок свидетельствует о том, что восстановление может быть сложным, поделился стипендиат BCS Адам Леон Смит.

Профессор кафедры техники безопасности в Университетском колледже Лондона Стивен Мёрдок полагает, что многим компаниям будет сложно оперативно устранить проблему. Сбой возникает до того, как компьютер подключается к интернету, поэтому нет возможности устранить его удалённо, говорит эксперт. Мёрдок добавляет, что компании, которые сократили IT-персонал или передали свои IT-задачи на аутсорсинг, столкнутся со сложностями при решении этой проблемы.

Министр внутренних дел Австралии Клэр О’Нил предупредила, что злоумышленники пытаются воспользоваться глобальным сбоем CrowdStrike, чтобы обокрасть малый бизнес, предлагая предпринимателям поддельные исправления. Она сообщила о попытках проведения фишинговых атак на фирмы.

Неисправное обновление ПО CrowdStrike продолжает влиять на предприятия и частных лиц по всему миру, несмотря на обещания CrowdStrike и Microsoft исправить проблему, сообщил Neowin. Глава Microsoft Сатья Наделла написал, что компания тесно сотрудничает с CrowdStrike и всей отраслью, чтобы устранить проблему. Негативные эффекты от инцидента до сих пор испытывает Национальная служба здравоохранения Великобритании.

Влияние сбоя на Россию

Министерство цифрового развития РФ сообщило, что ситуация с Microsoft подчёркивает важность импортозамещения зарубежного ПО. В ведомстве заявили, что не получали уведомления о сбоях систем российских аэропортов. В аэропорту Шереметьево объяснили стабильную работу инфраструктуры внедрением собственных разработок и решений.

Глобальный сбой не затронул российские АЭС, поскольку Росэнергоатом работает на импортонезависимом ПО. В штатном режиме функционируют системы ВТБ и Сбера.

В России практически нет решений CrowdStrike, поэтому глобальный сбой не коснулся страны, объяснил эксперт в области информационной безопасности Алексей Лукацкий. На фоне санкций большинство российских компаний были отключены от облачных сервисов Microsoft, что и стало причиной отсутствия проблем с ПО, отметил замглавы группы компаний «Гарда» Рустэм Хайретдинов.

Реакция в сети

Столь масштабный инцидент не обошли вниманием в интернете: