「微軟藍屏」背後:一次殺毒軟件更新引發的全球宕機
多個國家和地區的航班受到影響。西日本旅客鐵道公司列車行駛位置信息因Windows系統故障導致無法獲取;澳州航空公司、銀行、政府網絡、企業、超市自動收銀機等也受到影響。藍屏問題與網絡安全公司CrowdStrike的軟件更新有關。
▲日本東京時間2024年7月19日13時30分左右開始,日本地區運行微軟視窗(Windows)操作系統的電腦陸續開始出現訪問異常問題。據美國微軟日本子公司確認,安裝了美國網絡安全企業「群集打擊」(CrowdStrike)軟件的計算機上出現了該問題。
7月19日,微軟藍屏登上熱搜。多位用戶在社交平台分享的圖片內容顯示,公司的電腦出現藍屏,提示「設備遇到問題,需要重啟。」於是在週五的下午,不少用戶「提前下班」。
這是一次全球性的IT系統故障。多個國家和地區的航班系統、銀行系統和超市系統等受到影響而「癱瘓」。香港的機場系統也受到波及。當日微軟官方發佈公告稱,正在調查影響用戶訪問各種 Microsoft 365 應用和服務的問題。
隨後,藍屏問題被確認與網絡安全公司CrowdStrike的軟件更新有關,其導致中國、新西蘭、澳州、日本、印度等地的Windows均出現了藍屏現象。CrowdStrike目前正在全球範圍內撤銷該更新。截至發稿前,網絡安全公司CrowdStrike美股盤前大跌超18%,微軟跌超2%。
業內網絡安全人士向貝殼財經記者分析稱,此次藍屏故障大概率是因為殺毒軟件內的錯誤程序造成了Windows系統的程序錯誤,從而觸發了Windows系統的自我保護機制。雖然問題出現後該公司積極補救,但還是對全球廣大用戶造成了很大損失。在雲計算時代,業務系統穩定性面臨的挑戰將比以往更加嚴峻,企業迫切需要加強自身安全意識,合理應對技術故障,提前做好緊急事故預案,並重新評估其業務穩定保障、災難恢復計劃以及技術依賴的風險。
7月19日微軟發佈聲明稱,今天早些時候,CrowdStrike 的一次更新導致多個 IT 系統出現故障。我們正在積極幫助客戶,協助恢復服務。
━━━━━
系統故障影響多國航班
香港機場無法自助登機
▲當地時間2024年7月19日,新加坡,微軟公司旗下部分應用和服務出現訪問延遲、功能不全或無法訪問問題。因大範圍系統技術故障,乘客在新加坡樟宜機場等待人工辦理登機手續。
7月19日,微軟公司旗下部分應用和服務出現訪問延遲、功能不全或無法訪問問題,進而出現全球範圍內的IT系統故障。據央視新聞消息,西日本旅客鐵道公司(JR西日本)列車行駛位置信息因Windows系統故障導致無法獲取,澳州航空公司、銀行、政府網絡、企業、超市自動收銀機等也受到影響。
▲當地時間2024年7月19日,美國加利福尼亞州舊金山 ,由於微軟公司旗下部分應用和服務出現訪問延遲、功能不全或無法訪問問題,舊金山國際機場航班取消。
美國聯邦航空管理局稱,由於通訊問題,包括達美航空、聯合航空和美國航空在內的多家美國主要航空公司的所有航班於當地時間19日上午停飛。新加坡樟宜機場則表示,由於受到微軟系統故障影響,一些航空公司在樟宜機場的登機手續將由人工方式辦理。此外,飛常準數據顯示,包括印度、英國、德國、西班牙等地機場的航班也受到了影響。
香港機場也受上述故障影響未能自助登機。當日,香港機場管理局(機管局)表示,因微軟系統故障,應用該系統的相關航空公司服務受影響,須改用人工辦理登機手續。香港機場管理局表示,航班運作暫時未受影響,已啟動緊急應變機制跟進情況,呼籲旅客預留充足時間到機場。
打開香港國泰航空網站,頁面上則彈出了「系統維修:目前無法提供航班預訂服務」的信息,建議消費者使用「國泰航空手機應用程序」預訂機票及管理行程。國泰航空還建議在香港國際機場登機的旅客,通過國泰航空網站或應用程序在線辦理值機手續,並且獲取電子登機牌。對於有託運行李的旅客,建議在航班出發前至少三小時抵達機場,以便有足夠的時間辦理值機手續。
7月19日下午,國泰航空一位工作人員對貝殼財經記者稱,由於IT系統出現問題正在維修,網站預訂機票、兌換航班以及航班信息查詢服務等暫時不能使用,需要等系統維修恢復正常。
不過,截至目前,新京報貝殼財經記者採訪獲悉,吉祥航空、春秋航空、祥鵬航空、中聯航等航空公司均表示並未受到影響。海航航空集團表示,目前核實到的信息顯示,旗下航司境內航班均未受到影響。另外飛常準App顯示,北京首都國際機場、北京大興國際機場、上海浦東國際機場、廣州白雲國際機場都運營正常。
━━━━━
非網絡攻擊造成的安全事件
「業務穩定不僅是技術問題」
對於此次微軟系統出現大規模故障問題的原因,香港時間7月19日晚間,微軟發佈聲明稱,今天早些時候,CrowdStrike 的一次更新導致多個 IT 系統出現故障。我們正在積極幫助客戶,協助恢復服務。
在接到大量用戶反饋後,CrowdStrike也發佈聲明表示,已經知曉此問題並在處理中,在Reddit論壇中,該公司工程師稱正在撤銷CrowdStrike的一項可能導致藍屏死機的更改。
公開資料顯示,CrowdStrike是位於美國加利福尼亞州森尼韋爾的一家網絡安全公司,提供端點安全、情報威脅和網絡攻擊的安全服務,其於2019年在諾斯達克交易所上市。PC廠商戴亞在官網中介紹其稱:CrowdStrike 利用高級端點檢測和響應(EDR)應用程序和技術,提供業界卓越的下一代防病毒(NGAV)產品,該產品由機器學習提供支持,可確保在入侵發生之前將其阻止。
在工作原理方面,CrowdStrike是一種基於代理程序的傳感器,可以安裝在Windows、Mac或Linux操作系統上,適用於台式機或服務器平台。這些平台依賴雲託管SaaS解決方案來管理策略、控制報告數據、管理和應對威脅。CrowdStrike 可以離線或聯機工作,在文件試圖在端點上運行時對文件進行分析。
7月19日下午,CrowdStrike首席執行官George Kurtz在X平台發文稱,公司正在積極與受「單個Windows主機內容更新缺陷」影響的客戶溝通工作。Mac和Linux主機不受影響。「這不是安全事件或網絡攻擊。問題已被識別、隔離並修復。」
e安行項目負責人丁曉對貝殼財經記者分析稱,電腦藍屏是微軟的Windows系列操作系統在無法從一個系統錯誤中恢復過來時,為保護電腦數據文件不被破壞而強製顯示的屏幕圖像。「此次藍屏故障大概率是因為殺毒軟件內的錯誤程序造成了Windows系統的程序問題,從而觸發了Windows系統的自我保護機制,至於問題點,需要CrowdStrike仔細研究,且因為此事件已對大量用戶造成了實質損失,CrowdStrike應該將最終的問題原因公開披露。」
民間互聯網安全組織網絡尖刀創始人曲子龍則向記者提供了遇到相關問題時,用戶可以嘗試的解決方案:「開機時一直按F8,進入安全模式,將 C:\Windows\system32\drivers\crowdstrike 文件夾重命名,然後重啟就可以暫時解決。搞不定的用U盤引導進PE系統(一個小型操作系統,主要用於故障排除、執行恢復操作、安裝Windows 操作系統等)操作也行。」
「對這次事件CrowdStrike官方已經澄清,原因不是由於網絡攻擊造成的安全事件,而是因為軟件自身缺陷造成。該公司的殺毒軟件產品在全球範圍內應用比較廣泛,尤其是日本和美國地區。」在丁曉看來,該公司軟件版本在未經過充分檢驗和測試情況下就面向市場廣泛使用,是非常不負責任的行為,雖然問題出現後,該公司已經積極發佈補救措施,但還是對全球廣大用戶造成了很大損失。「我們國家的信息化企業應該總結這個事件經驗,積極做好自身開發的應用軟件的測試工作,保障軟件具有較好的可靠性,避免給使用者帶來不必要的損失,也避免對公司自身帶來名譽及經濟損失。」
奇安信網絡安全事件響應專家、威脅情報中心負責人汪列軍則對記者表示,此次事件提醒業界和廣大用戶,即使是非常成熟的技術平台也可能遭遇意外故障。業務穩定和網絡安全不僅是技術問題,更是管理和戰略問題,需全面綜合考慮各種因素。比如,涉及系統穩定性的軟件廠商需要對自己的軟件有更嚴格的質量管理,否則這種意外故障導致的業務連續性問題比惡意網絡攻擊還要大。此外,需要做好產品升級策略,確保灰度升級,控制放量節奏。出現事故時,平台和安全廠商需要積極主動給客戶相應的解決方案,並積極與公眾溝通,避免因為信息差等導致恐慌。
汪列軍還提醒稱,在雲計算時代,業務系統穩定性面臨的挑戰將比以往更加嚴峻,企業迫切需要加強自身安全意識,合理應對技術故障,提前做好緊急事故預案,並重新評估其業務穩定保障、災難恢復計劃以及技術依賴的風險。例如,對業務有高穩定性要求的用戶,可採用多供應商互為備份,以避免出現供應商單點故障,還可進行故障應急演習,對此類場景有應對預案和回退措施。
「該公司已經通知我們,大多數問題應該通過他們提供的修復程序來解決,但是考慮到這次事件的規模和性質,可能需要一些時間來解決。各級政府密切參與,重點是彙集受影響的各方,並確保政府盡快製定解決辦法。如有需要,我們會發出進一步的更新。」受影響較大的澳州內政部長克雷爾·奧尼爾發佈聲明稱。
