Globalna awaria usług Microsoft przez błąd w oprogramowaniu CrowdStrike (antywirus, EDR)

Awarię spowodował sterownik agenta monitorującego przepływ danych i informacji w różnych systemach operacyjnych Windows (różne wersje) – ów agent odpowiada za bezpieczeństwo, wykorzystuje zaimplementowany mini-sterownik do śledzenia i przechwytywania zmian „pod maską”, aby po prostu wykrywać złośliwe oprogramowanie oraz cyberataki. Sterownik działa na poziomie jądra systemowego, zarządza krytycznymi funkcjami i komunikacją oprogramowania ze sprzętem, dlatego częste aktualizacje mogą powodować błędy, prowadzić do niestabilności i awarii.

Do awarii doszło wskutek wysłania niepoprawnej aktualizacji pakietu oprogramowania ochronnego CrowdStrike na cały świat. Firma CrowdStrike wydała już oficjalne stanowisko w tej sprawie m.in. na Reddit, potwierdzając awarię i sposób naprawy systemu poprzez usunięcie konkretnego sterownika:

„Workaround Steps:

1. Boot Windows into Safe Mode or the Windows Recovery Environment
2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
3. Locate the file matching “C-00000291*.sys”, and delete it.
4. Boot the host normally.”
   
   

Niestety wielu administratorów IT raportuje, że pliku nie da się usunąć, jeżeli ktoś stosuje szyfrowanie plików za pomocą BitLocker, ponieważ blokuje on dostęp do tryby Safe Mode – w tym trybie można odpalić konsolę CMD i skasować plik. Jednak internet nie byłoby tym, czym jest, gdyby nie pomysłowość użytkowników – jest i na to sposób według tej instrukcji.

Systemy MacOS oraz Linux nie są objęte są awarią, nawet jeżeli korzystają z oprogramowania CrowdStrike.