W piątek 19 lipca rano zaczęła się globalna awaria systemów Microsoft. Z tego powodu kłopoty mieli jednostkowi użytkownicy Windowsa, ale też wiele firm. Linie lotnicze odwoływały loty, Stacja Sky News od rana nie mogła nadawać, kłopoty miał też australijski operator telekomunikacyjny Telstra.
Nie wszystkie komputery z system Windows zostały jednak dotknięte. Po czasie okazało się bowiem, że choć w efekcie awarii pojawiły się problemy z działaniem systemów Windows, to w rzeczywistości wywołała je aktualizacji antywirusa Falcon Sensor. Źródłem problemu jest więc nie Microsoft, a twórca oprogramowania - firma CrowdStrike.
Przyczyną problemu nie jest oprogramowanie Microsoft, a firmy CrowdStrike. To jest antywirus 'nowej generacji'. Tę nowość możemy obserwować na całym świecie
- wyjaśniał w TVN24 Piotr Konieczny z portalu Niebezpiecznik.pl.
Awaria Microsoftu tak naprawdę była awarią CrowdStrike. Spowodowała ją aktualizacja antywirusa
W aktualizacji antywirusa Falcon Sensor wprowadzono kod, który nie działa do końca poprawnie. W wyniku tego podczas uruchamiania komputerów, które korzystają z tego narzędzia, dochodzi do restartu. I tak za każdym razem.
Aktualizacja w tym antywirusie spowodowała dzisiaj tzw. pętle śmierci na systemach Windows. Następuje ich restart, ale ten restart kończy się tym samym
- tłumaczył Konieczny.
Podkreślmy raz jeszcze: nie zawiodło narzędzie Microsoftu, tylko firmy CrowdStrike. Dlatego też problem dotyczy tylko osób i firm, które korzystają z tego konkretnego antywirusa, a nie wszystkich użytkowników Windowsa. Skala awarii pokazuje jednak, że Falcon Sensor jest dość popularnym narzędziem.
Firmy, które zdecydowały się na inne oprogramowanie zapewniające cyberbezpieczeństwo, nie doświadczyły problemów. Konieczny tłumaczył, że w przeszłości Microsoft miewał podobne problemy, ale tym razem firma założona przez Billa Gatesa nie ponosi odpowiedzialności.
Ja naprawić komputer z Falcon Sensor od CrowdStrike? Wystarczy skasować jeden plik, ale to nie takie proste
W teorii naprawa jest dość prosta, wystarczy bowiem usunąć pliki systemowe pasujące do wzorca C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys.
- Problem w tym, że to mogą zrobić tylko administratorzy systemu. A większość ludzi pracujących na firmowych komputerach nie ma odpowiednich uprawnień - mówił Konieczny. To natomiast oznacza, że pracownicy firm, których komputery wpadły w "pętle śmierci", będą musieli pofatygować się do administratorów, by ci mogli ręcznie usunąć nieodpowiednie pliki. Nie można zrobić tego zdalnie, ponieważ komputer się nie uruchamia i nie ma połączenia z internetem, by pobrać łatkę, mogącą naprawić problem.
Można zażartować, że firma CrowdStrike jako jedyna znalazła globalne rozwiązanie na to, jak ściągnąć ludzi do firm ze swoimi komputerami. Niestety to ściąganie będzie się odbywało prawdopodobnie przez ten weekend, co oznacza dużo problemów dla pracowników wielu różnych instytucji
- mówił Konieczny.
Administratorzy będą mieli dużo pracy
- dodał ekspert.
Jego zdaniem powrót do normalności powinien nastąpić do końca przyszłego tygodnia. Wiele firm może jednak szybciej, nawet w ciągu kilku godzin, wznowić działanie, bo systemy zostały w nich wyłączone prewencyjnie.
Prezes CrowdStrike George Kurtz potwierdził oficjalnie wszystkie powyższe informacje. Jak wyjaśnił, problem nie dotyczył systemów Mac oraz Linux. Kurtz podkreślił, że nie był to atak hakerski. Problem zidentyfikowano, wyizolowano i podjęto naprawy.
