Rzeczniczka Microsoft Polska Anna Klimczuk przekazała, że w piąrek doszło do dwóch awarii jednocześnie. Jedna związana była z oprogramowaniem MS a druga z aktualizacją oprogramowania zewnętrznej firmy Crowd Strike.
Do Polskiej Agencji Prasowej trafiły stanowiska zarówno polskiego oddziału Microsoftu, jak i firmy Crowdstrike.
Stanowisko Microsoft i Crowdstrike
Jak wyjaśnia Anna Klimczuk, zdarzyły się dwie awarie – jedna dotyczy oprogramowania Azure, a druga związana była z aktualizacją oprogramowania CrowdStrike.
"Jesteśmy świadomi, że problem dotyczy części klientów. Zdajemy sobie sprawę z wpływu, jaki to może na nich mieć, i pracujemy nad jak najszybszym przywróceniem usług dla tych, którzy nadal doświadczają zakłóceń" – wskazano w stanowisku firmy Microsoft.
Natomiast CrowdStrike wskazał, że jako firma jest świadoma wpływającego na urządzenia z systemem Windows problemu z powodu aktualizacji z platformy oprogramowania innej firmy. Spółka dodaje, że spodziewa się naprawienia awarii "w najbliższym czasie".
Przyczyny masowych awarii
Piotr Konieczny, ekspert ds. cyberbezpieczeństwa, wyjaśnił w serwisie LinkedIn, w jaki sposób doszło do awarii.
"Już wiemy że stanęły lotniska, bo pilotom m.in. United scrashowaly komputery. Wiemy, że kilka firm prewencyjnie nie włączyło dziś rano swoich komputerów (dobra decyzja). Wiemy, że pętla śmierci pojawia się na kompach, które mają zainstalowanego "next generation antywirusa" od CrowdStrike. Powodem jest wadliwa aktualizacja. Samo się nie naprawi, bo komputer nie wstaje" - napisał ekspert.
"Trzeba wejść w safe boot albo recovery mode i zmienić nazwę pliku C:\Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys. Współczucia dla wszystkich sysadminów, którzy będą musieli to robi tysiące razy ręcznie, czasem po przejechaniu setek kilometrów" - czytamy w poście.
Wyjaśnienia CERT Polska i instrukcja
"Spokojnie to tylko awaria. Od rana trwa globalna awaria wielu systemów Windows, które korzystają z narzędzi CrowdStrike. Ostatnia aktualizacja rozwiązania Falcon Sensor spowodowała, że stacje robocze nie mogą się uruchomić, wyświetlając tzw. BSOD" - podano w serwisie X przez organizację zajmującą się bezpieczeństwem w sieci.
Jak przywrócić działanie po awarii? CERT Polska wskazuje, że administrator może tymczasowo rozwiązań problem, stosując poniższą instrukcję:
- Uruchom Windowsa w trybie awaryjnym lub przejdź do Windows RE
- Jeśli korzystasz z Bitlockera, upewnij się, że masz Recovery Key. Jeśli nie, wygeneruj go z pomocą instrukcji podanej niżej
- Przejdź do folderu C:\Windows\System32\drivers\CrowdStrike
- Usuń z tego folderu wszystkie pliki pasujące do wyrażenia “C-00000291*.sys”
- Uruchom system ponownie.