19 июля сбой в работе ИБ-приложения для Windows 10 на ПК и серверах парализовал ИТ-инфраструктуру телеком-компаний, интернет-провайдеров, банков, платёжных систем, аэропортов, СМИ, медучреждений, отделений полиции, тюрем, служб оказания экстренной помощи, коммунальных предприятий и супермаркетов. Пользователи наблюдали «синий экран смерти», техника начала уходить в «вечную» перезагрузку.
Всё это стало следствием некорректного обновления приложения Falcon Sensor от CrowdStrike (которое — парадоксально — «блокирует атаки на системы, фиксируя и записывая активность для быстрого обнаружения угроз») и ошибки при его взаимодействии с сервисами Microsoft. Проблемный код в файле размером всего 42 Кб заставил драйвер обратиться к неверному участку памяти на уровне ядра ОС, что и вызвало «синий экран смерти».
Крупнейшие американские авиакомпании American Airlines, United Airlines, Delta Airlines и Frontier Airlines остановили все полёты из-за проблем с коммуникацией. Аэропорты США, Великобритании, Испании, Германии, Нидерландов, Австралии, ОАЭ и Литвы объявили о задержке рейсов (общее число которых достигло 1400).
Системный сбой отразился и на процедуре бронирования и регистрации — об этом сообщили в частности в Turkish Airlines, а индийские и французские службы начали заполнять авиабилеты вручную. Уже вылетевшие рейсы выполняли посадку в экстренном режиме, при этом некоторые пассажиры не могли покинуть уже посаженные самолёты.
Также инцидент серьёзно повлиял на процессы Лондонской фондовой биржи, японских ресторанов McDonald’s, Amazon, самой Microsoft и даже оргкомитета Олимпиады, однако, практически не затронул российские организации, поскольку решение CrowdStrike в стране не столь популярно.
Системные администраторы по всему миру оперативно отключали серверы с установленным приложением, после чего во многих пострадавших компаниях восстанавливалась работа ПК и IP-телефония. В Microsoft тем временем заявили, что принимают «меры по смягчению последствий», а CrowdStrike отозвала неисправное обновление и предложила временное (не универсальное) решение:
— Загрузить Windows в безопасном режиме или режиме восстановления
— Перейти в папку C:WindowsSystem32driversCrowdStrike
— Найти и удалить файл, соответствующий маске «C-00000291*.sys»
— Перезагрузить компьютер в нормальном режиме
По оценкам страховщиков, совокупные потери только американских компаний составили не менее 5,4 млрд долларов.
