W piątek 19 lipca od rana Internet żyje awarią systemów Microsoftu. Paraliż dotyka lotnisk, banków i innych usług, polegających na biznesowych aplikacjach technologicznego giganta. Problem okazał się leżeć w aktualizacji antywirusa firmy CrowdStrike. A naprawa go jest prosta, a jednocześnie bardzo kłopotliwa dla wielu firm.
Globalną awarię najbardziej odczuwają za granicą jak setki odwołanych lotów w USA, telekomunikacyjny paraliż Australii i masowe doniesienia ze wschodu o sparaliżowanych biurach. Problem odczuwalny był także w Polsce, gdy pracownicy biurowców nie mogli uruchomić swoich komputerów, a w czasie pisania tego tekstu Ryanair ma niedostępne usługi odprawy zdalnej. A do usunięcia problemu wystarczy... zmiana nazwy pliku.
Jedna aktualizacja antywirusa firmy CrowdStrike miała zakłócić działanie systemów Microsoftu. Niczym kostki domina, od jej wgrania zaczęła się lawina problemów – zakłócenia w dostępie do usług bankowości online, paraliż lotnisk, wyłączenie z działania telefonów alarmowych, odcięcie usług telekomunikacyjnych, mediów.
Problemy zgłaszały nawet usługi związane z londyńską giełdą. Komputery się nie uruchamiają bądź wyświetlają tzw. błękitny ekran śmierci, informują, że zbierają dane do kolejnego uruchomienia… po czym znowu proces awarii zaczyna się od nowa. Błękitny komunikat widziano w bankach, na lotniskach supermarketach i na ekranach służbowych komputerów.
Raporty wskazują na źródło w firmie CrowdStrike, globalnego dostawcy usług z zakresu cyberbezpieczeństwa. Firma informuje, że jest świadoma doniesień o awariach w systemie Windows, które mają być związane z czujnikiem Falcon. Poinformowała o tym, jak to naprawić, przez zmianę nazwy pliku.
"Wiemy, że kilka firm prewencyjnie nie włączyło dziś rano swoich komputerów (dobra decyzja). Wiemy, że pętla śmierci pojawia się na kompach, które mają zainstalowanego "next generation antywirusa" od CrowdStrike. Powodem jest wadliwa aktualizacja. Samo się nie naprawi, bo komputer nie wstaje. Trzeba wejść w safe boot albo recovery mode i zmienić nazwę pliku C:\Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys. Współczucia dla wszystkich sysadminów, którzy będą musieli to robić tysiące razy ręcznie, czasem po przejechaniu setek kilometrów" – pisze na Linkedin Piotr Konieczny z Niebezpiecznik.pl
Naprawa niby prosta, na czym polega więc problem? Korporacje zwykle nakładają ograniczenia uprawnień. Chociaż zmianę mógłby zrobić dowolny pracownik, nie zrobi tego, ponieważ zatrudnione w firmach osoby od IT mają niemal wyłączny dostęp do grzebania w ustawieniach i plikach systemowych.
Microsoft pracuje nad usuwaniem awarii ze swojej strony. Wiele usług zostało przywróconych w piątek rano. Serwis Downdetector, podający statystyki i zgłoszenia na temat awarii różnych aplikacji i usług, wskazuje, że oprócz usługi Microsoft 365 wielu polskich użytkowników miało problem z korzystaniem z Microsoft Store czy dostępem do usług na konsoli Xbox.