Сбой в работе ИБ-приложения для Windows 10 на ПК и серверах парализовал ИТ-инфраструктуру телеком-компаний, интернет-провайдеров, банков, платёжных систем, аэропортов, СМИ, медучреждений, отделений полиции, тюрем, служб оказания экстренной помощи, коммунальных предприятий и супермаркетов. Пользователи наблюдают «синий экран смерти», техника начала уходить в «вечную» перезагрузку.

Всё это стало следствием некорректного обновления приложения Falcon Sensor от CrowdStrike (которое — парадоксально — «блокирует атаки на системы, фиксируя и записывая активность для быстрого обнаружения угроз») и ошибки при его взаимодействии с сервисами Microsoft.

Крупнейшие американские авиакомпании American Airlines, United Airlines, Delta Airlines и Frontier Airlines остановили все полёты из-за проблем с коммуникацией. Аэропорты США, Великобритании, Испании, Германии, Нидерландов, Австралии, ОАЭ и Литвы объявили о задержке рейсов (общее число которых достигло 1400).

Системный сбой отразился и на процедуре бронирования и регистрации — об этом сообщили в частности в Turkish Airlines, а индийские и французские службы начали заполнять авиабилеты вручную. Уже вылетевшие рейсы выполняют посадку в экстренном режиме, при этом некоторые пассажиры не могут покинуть уже посаженные самолёты.

Также инцидент серьёзно повлиял на процессы Лондонской фондовой биржи, японских ресторанов McDonald’s, Amazon, самой Microsoft и даже оргкомитета Олимпиады, однако, практически не затронул российские организации, поскольку решение CrowdStrike в стране не столь популярно.

Системные администраторы по всему миру оперативно отключают серверы с установленным приложением, после чего во многих пострадавших компаниях восстанавливается работа ПК и IP-телефония. В Microsoft тем временем заявили, что принимают «меры по смягчению последствий», а CrowdStrike отозвала неисправное обновление и предложила временное (не универсальное) решение:

1. Загрузить Windows в безопасном режиме или режиме восстановления
2. Перейти в папку C:WindowsSystem32driversCrowdStrike
3. Найти и удалить файл, соответствующий маске «C-00000291*.sys»
4. Перезагрузить компьютер в нормальном режиме

Комментируя сбой, руководитель направления инфраструктурного пентеста Angara Security Роман Просветов отметил, что любые обновления ПО несут в себе изменения, которые могут вызвать сбой в работе системы: «Конечно, обновления важны, и их надо устанавливать. Но устанавливать их сразу же после выхода и без тестирования на рабочие станции пользователей далеко не самая хорошая идея. По лучшим практикам необходимо подождать одну-две недели — за это время как раз выявляются все недостатки и возможные проблемы. Плюс, перед развертыванием необходимо протестировать обновление на системах, которые по железу и ПО максимально похожи на рабочие станции пользователей и сервера».

Бывает, что обновление закрывает какую-то активно эксплуатируемую проблему в безопасности, добавил Просветов — в этом случае время ожидания можно сокращать, но всё равно никогда не забывать про тестирование.