Сбой в Windows произошел из-за неудачного обновления Falcon Sensor

19 июля произошел массовый сбой в работе Windows-систем по всему миру. Проблема возникла из-за неудачного обновления сервиса безопасности Falcon Sensor от компании CrowdStrike.

Проблемы с работой различных систем возникли сразу в нескольких странах: Австралии, Британии, Израиле, Индии, Испании, США, Турции, Украине. Под удар попали авиакомпании, банки, медицинские учреждения, операторы связи и другие системы, чья работа завязана на облачной платформе Microsoft.

Из-за сбоя авиакомпания Allegiant задержала почти половину рейсов, а все рейсы Delta, Turkish Airlines, United и American Airlines были приостановлены.

«В настоящее время мы сталкиваемся с широкомасштабными проблемами с ИТ по всей нашей сети», — написала в X компания Southern Railway, оператор многих железнодорожных служб на юге Англии.

Прекратил вещание канал SkyNews. Как сообщил израильский 12 канал телевидения, возникли сложности в работе медицинских учреждений и службы экстренной помощи в этой стране. Проблемы возникли во всех аэропортах Испании.

Сбой выражается в аварийном прекращении работы («синем экране смерти», BSOD) Windows-систем, а затем в циклической перезагрузке. Как передала телекомпания CNN, 18 июля в Microsoft сообщили, что хранилище Azure перестало работать в центральной части США. В корпорации подчеркнули, что обнаружили причину сбоя и уже работают над устранением проблем.

Причиной сбоя стало обновление сервиса безопасности Falcon Sensor от компании CrowdStrike. Вендор признал проблему и предложил вариант решения, однако он срабатывал далеко не на всех системах.

Россию сбой не затронул.

«Российские авиакомпании уже давно перешли на отечественную систему бронирования, поэтому глобальный сбой их не затронул», — сообщила пресс-служба авиакомпании Red Wings агентству «РИА Новости».

«На текущий момент сообщений о сбоях систем в российских аэропортах не поступало, — информирует официальный телеграм-канал Минцифры России. — Ситуация с ПО Microsoft показывает значимость импортозамещения иностранного ПО».

«Айтигеддон, который сейчас наблюдается по миру в виде сбоя критически важных систем: аэропорты, 911, системы связи и т. д. — это довольно забавная история и следствие глобализации, беспечности и замещения элементарной культуры хранения и управления информацией на религиозное отношение к глобальным корпорациям», — так прокомментировала инцидент основатель и президент группы компаний Cognitive Technologies Ольга Ускова в официальном телеграм-канале.

«Сейчас в США забудут про санкции и про торжественный исход “Мелкософта“ из России. И начнут орать про русских хакеров. У Бога классное чувство юмора».

Никита Кислицин, руководитель департамента сетевой безопасности компании F.A.C.C.T. :

«Текущая проблема вызвана недостатком в обновлении ПО Crowdstrike Falcon Sensor и затрагивает только устройства c ОС Windows, на которых оно было установлено. Массовые сообщения о сбоях начались 19.07 примерно в районе 8-00 (мск). Вендор не сможет восстановить упавшие компьютеры и серверы, проблема решается только ручными действиями на поврежденных машинах, которые предстоит выполнять администраторам, обслуживающим затронутые организации.

Серверы с Windows, получив обновление, упали в BSoD ("синий экран смерти"). Как следствие, функции, которые они выполняли - полностью нарушились. Если это были сервера с БД, то базы данных перестали работать. Если это были сервера с приложениями, то упали приложения. Для банков, аэропортов, больниц, это означает тяжелые последствия в виде нарушения работы ключевых процессов. Интересно, что проблема затронула даже сам Microsoft: компания использовала Crowdstrike в своей платформе Azure.

Примечательно, что это уже вторая подряд проблема с Falcon Sensor за последнее время: в конце июня возникла схожая (но менее явная) проблема с высокой утилизацией CPU после установки обновления модуля сканирования памяти.

ПО Crowdstrike очень популярно во всем мире, но Россия здесь в безопасности: в нашей стране эта компания не работает, и у нас может быть только незначительное количество устройств с данным ПО».