Takiej informacji udzieliło ministerstwo spraw wewnętrznych Australii. W kraju tym odnotowano szereg awarii komputerów. Podobne zjawiska miały miejsce w Stanach Zjednoczonych, Indiach i wielu innych krajach na świecie. W tym także w Europie – m.in. w Wielkiej Brytanii. W efekcie uziemione zostały samoloty na lotniskach w Sydney, Bombaju, Edynburgu czy Berlinie. Problemy pojawiły się także w szpitalach, bankach i mediach wielu państw. Z różnych informacji wynika jednak, że mamy do czynienia ze skutkami dwóch awarii jednocześnie, bo oprócz oprogramowania CrowdStrike, niewydolna jest także usługa Microsoft Azure.
Od rana światowe media informują o poważnych utrudnieniach związanych z awarią systemów komputerowych. Przykładowo, spółka Virgin Australia musiała wstrzymać wszystkie loty przychodzące i wychodzące na lotnisko w Sydney. Na lotnisku w Melbourne wystąpiły natomiast opóźnienia w odprawach. Z powodu tej awarii w Stanach Zjednoczonych liniom lotniczym takim jak American Airlines, Delta i United nakazano pozostać w powietrzu. Z kolei w Indiach przewoźnicy lotniczy IndiGo, SpiceJet i Akasa Air, doświadczyli poważnych problemów technicznych. Awaria wpłynęła też m.in. na system rezerwacji wizyt lekarskich w Anglii czy odwołanie operacji w niemieckich szpitalach. Problemy wystąpiły również z nadawaniem telewizji – na kilka godzin przerwano program Sky News.
Szczegóły awarii
Problemy techniczne pojawiają się na komputerach z systemem Microsoft Windows – niewydolna jest usługa Microsoft Azure/Microsoft 365. Ale także na tych maszynach, które mają zainstalowane najnowsze oprogramowanie antywirusowe firmy CrowdStrike o nazwie Falcon Sensor. Powodem jest wadliwa aktualizacja. Komputery samoczynnie uruchamiają się ponownie lub pokazują komunikat o błędzie na niebieskim ekranie.
“Badamy problem wpływający na możliwość dostępu użytkowników do różnych aplikacji i usług Microsoft 365” – przekazano w komunikacie Microsoft na platformie X.
Również firma CrowdStrike poinformował, że jej inżynierowie pracują nad rozwiązaniem problemów technicznych.
“Nie ma żadnych informacji sugerujących, że jest to incydent związany z cyberbezpieczeństwem” – czytamy natomiast w oświadczeniu australijskiego krajowego koordynatora ds. cyberbezpieczeństwa na platformie X.
“Obecnie w Polsce systemy infrastruktury krytycznej działają płynnie. Globalna awaria systemów Microsoft jest monitorowana przez polskie służby odpowiedzialne za cyberbezpieczeństwo. Będziemy na bieżąco informować o sytuacji. Obecnie nie ma powodów do niepokoju” – zapewnił w mediach społecznościowych wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Na awarię zareagowały już rynki finansowe.
“Akcje Microsoftu na niemieckiej giełdzie spadły o ponad 2%, podczas gdy notowania firmy CrowdStrike, która potwierdziła, że problem dotyczy ich oprogramowania Falcon Sensor, spadły o niemal 14%. Mimo że awaria została szybko zidentyfikowana, akcje konkurentów CrowdStrike zyskały nawet 6% w handlu przedsesyjnym” – skomentował Grzegorz Dróżdż, analityk Conotoxia Ltd. (Invest.Cinkciarz.pl).
Jak poradzić sobie z usterką?
Jak potwierdził portal wsparcia technicznego CrowdStrike, należy:
- Uruchomić komputer w trybie awaryjnym.
- Przejść do C:\Windows\System32\drivers\CrowdStrike.
- Znaleźć plik pasujący nazwą do schematu “C-00000291*.sys” i usunąć go.
- Zrestartować komputer.
Innym sugerowanym obejściem jest zmiana nazwy katalogu C:\Windows\System32\drivers\CrowdStrike. Do wykonania takich działań potrzebne są jednak uprawnienia administratora.
KOMENTARZ
Awaria ma wymiar historyczny. Dotknęła miliony stacji roboczych na całym świecie i około 70% firm z listy Fortune 100. Duże awarie prawie nigdy nie przebiegają w ten sposób. Zazwyczaj ich powodem jest awaria usługi w chmurze lub problem z DNS. Teraz mamy do czynienia z awarią milionów laptopów i stacji roboczych, które w tym samym czasie pokazują niebieski ekran. To sytuacja porównywalna jedynie do epidemii złośliwego oprogramowania, takich jak Wannacry czy Notpetya. W tym wypadku system, który miał zapewnić działanie komputera, wyłączył go.
Oprogramowanie zabezpieczające punkty końcowe musi działać w oparciu o dostęp niskiego poziomu, żeby chronić komputer. Od zwykłych aplikacji różni je to, że może spowodować awarię całego systemu. Co gorsza, żadne inne oprogramowanie nie jest aktualizowane tak często, jak oprogramowanie zabezpieczające. Dlatego też firmy zajmujące się bezpieczeństwem stworzyły bardzo skuteczne procesy zapewniania jakości, testując ogromną liczbę kombinacji oprogramowania, aby uniknąć awarii. W tym wypadku te procesy zawiodły. Dlaczego tak się stało – nie wiadomo. Być może testom poddano inny sterownik niż ten, który ostatecznie dostarczono. Czas pokaże.
Wiemy za to, jak naprawić tę awarię. Niestety, jest to proces ręczny, trzeba fizycznie posadzić specjalistę przy klawiaturze każdej maszyny. Większość krytycznych systemów jest już uruchomiona, ale naprawienie każdego systemu dotkniętego awarią zajmie dni, a może nawet tygodnie.
Mikko Hypponen, ekspert ds. cyberbezpieczeństwa, dyrektor ds. badań w WithSecure
