Компании приходят в себя после неудачного обновления CrowdStrike Falcon, которое спровоцировало массовый BSOD и вывело из строя миллионы Windows-систем. В Microsoft сообщили, что проблема затронула примерно 8,5 млн Windows-хостов (менее 1% от общего количества машин под управлением Windows) и подготовили специальный USB-инструмент для восстановления.
В конце прошлой недели проблемное обновление enterprise-решения CrowdStrike Falcon Sensor привело к тому, что миллионы Windows-систем показали «синий экран смерти» (BSOD). Это повлекло за собой массовые сбои в работе аэропортов, банков, медицинских учреждений и множества других организаций в США, Великобритании, многих странах ЕС, Индии, Новой Зеландии, Австралии и так далее.
Последствия и причины
В минувшие выходные в компании Microsoft сообщили, что по предварительным подсчетам инцидент затронул миллионы систем.
«Хотя обновления программного обеспечения иногда вызывают сбои, такие серьезные инциденты, как в случае с CrowdStrike, происходят нечасто. По нашим оценкам, от обновление CrowdStrike пострадали 8,5 млн Windows-устройств, то есть менее одного процента от общего числа Windows-машин. Хотя процентное соотношение было небольшим, широкие экономические и социальные последствия отражают, что продукт CrowdStrike используется в корпоративных системах, которые обеспечивают работу многих критически важных служб», — пишут представители Microsoft.
Стоит отметить, что представители CrowdStrike уже не только принесли публичные извинения за произошедшее, но и поделились отчетом, в котором кратко объяснили, что именно произошло.
По словам специалистов компании, проблема заключалась в логическом дефекте, допущенным в коде файла C-00000291*.sys. При этом подчеркивается, что ошибка не была связана с нулевыми байтами в этом или любых других файлах (такая теория широко обсуждалась ИБ-специалистами в соцсетях).
Более детально проблему файла C-00000291*.sys разобрал в X известный ИБ-эксперт Патрик Уордл (Patrick Wardle).
Тем временем в CrowdStrike также предупредили, что сложившейся ситуацией уже пытаются воспользоваться мошенники, которые:
- присылают фишинговые письма и звонят пострадавшим клиентам, представляясь специалистами службы поддержки CrowdStrike;
- выдают себя за независимых исследователей, утверждая, что у них есть доказательства того, что происходящее связано с кибератакой, и якобы предлагают способы ее устранения;
- продают скрипты, якобы предназначенные для автоматизации восстановления.
Исправление
За прошедшие выходные специалисты Microsoft подготовили WinPE-инструмент для поиска и удаления неработающего обновления CrowdStrike и ускорения процесса восстановления.
Дело в том, что для устранения проблемы администраторам рекомендовалось перезагрузить затронутые устройства Windows в Safe More или Recovery Environment и вручную удалить драйвер ядра (C-00000291*.sys) из папки C:\Windows\System32\drivers\CrowdStrike.
Так как во многих организациях работают сотни или тысячи устройств под управлением Windows, выполнение этих операций вручную оказалось крайне проблематичным. Поэтому Microsoft выпустила инструмент, который автоматизирует удаление проблемного обновления с Windows-устройств, чтобы те снова могли загружаться нормально.
Чтобы воспользоваться утилитой понадобится 64-битный клиент Windows, не менее 8 ГБ свободного места, права администратора на конкретном устройстве, USB-накопитель объемом не менее чем 1 ГБ, а также recovery-ключ Bitlocker, если требуется.
В результате пострадавшие Windows-устройства можно будет загружать с помощью USB-носителя, и с которого автоматически запустится batch-файл CSRemediationScript.bat, автоматически удаляющий неработающее обновление CrowdStrike.
В свою очередь, представители CrowdStrike и вовсе создали отдельный сайт, посвященный восстановлению систем после произошедшего сбоя.
