Mastodon
Zdjęcie okładkowe wpisu Wielka awaria Microsoftu, czy na pewno tylko Microsoftu? Otóż nie, chodzi o firmę CrowdStrike

Wielka awaria Microsoftu, czy na pewno tylko Microsoftu? Otóż nie, chodzi o firmę CrowdStrike

0
Dodane: 3 miesiące temu

Od wczesnych godzin porannych niemal każdy mainstreamowy serwis informacyjny alarmuje o gigantycznej awarii systemów Microsoftu. Tyle, że niekoniecznie chodzi o Microsoft. Problem jest poważny, ale jeżeli prywatnie korzystasz z Windows 11 nie musisz wpadać w panikę.

Zacznijmy od tego, kogo dotyczy problem, bo w wielu miejscach przeczytać możemy, ze chodzi o użytkowników systemów Microsoftu, mówiąc wprost: Windows 10 i Windows 11. Tyle, że to pewne przekłamanie. Problem w istocie dotyczy faktycznie użytkowników urządzeń pracujących pod kontrolą systemów Microsoft, ale tylko takich, którzy równocześnie używali przeznaczonego dla klienta biznesowego oprogramowania zabezpieczającego firmy CrowdStrike. Na dodatek nie chodzi o każdy program CrowdStrike, lecz o rozwiązanie o nazwie EDR Falcon. Nie używasz systemu EDR Falcon, nie masz nawet pojęcia o firmie CrowdStrike? Nie masz czego się obawiać, na Twoim komputerze BSOD (tzw. błękitny ekran śmierci) się nie pojawi, no chyba, że masz pecha posiadać komputer służbowy twojej firmy, która z oprogramowania CrowdStrike korzysta.

Niemniej w przypadku środowisk biznesowych, czyli m.in. banków, portów lotniczych i linii lotniczych (które były zmuszone do wypisywania kart pokładowych ręcznie, patrz powyższy post) oraz wielu innych firm, które korzystały z oprogramowania CrowdStrike problem okazał się poważny, a jego zasadniczą przyczyną była popularność rozwiązania CrowdStrike jak i systemów Microsoftu. Tyle, że Microsoft w tym przypadku oberwał niejako rykoszetem.

Nie zmienia to faktu, że zawiodły procedury i to na wielu poziomach. Absolutnie nie wybielam Microsoftu, bo w firmie tej zawiodło sprawdzenie aktualizacji partnera (w tym przypadku CrowdStrike). Awaria jest po prostu wynikiem zaniedbań i to nie w jednym miejscu. Zaniedbanie po stronie CrowdStrike, że w ogóle wypuścili kod, który powoduje problem, zaniedbanie po stronie Microsoftu, że systemy i osoby odpowiedzialne za weryfikację poprawności działania aktualizacji od zewnętrznych dostawców po prostu przepuściły kod, który w istocie był wadliwy.

Dodatkowy kłopot dla wielu podmiotów to brak redundancji, a także problem czysto ludzki, nie każdy dział IT uporał się z tym, tak jak powinien. Dotyczy to przede wszystkim tych, który sami zarządzają swoją infrastrukturą w chmurze. Niemniej miejmy na uwadze, kto jest tutaj głównym winowajcą. Z tego co obserwuję, to media skupiają się przede wszystkim na Microsofcie, tymczasem zarówno chmura Azure jak i systemy Windows pozbawione softu od CrowdStrike działają tak jak powinny.

Pojawiły się też liczne recepty na ręczne rozwiązanie problemu, sama firma CrowdStrike podaje jak można chwilowo obejść problem:

  • Uruchomić komputer (z systemem Windows oczywiście) w trybie awaryjnym (Safe Boot lub Recovery Mode)
  • Przejść do C:\Windows\System32\drivers\CrowdStrike.
  • Znaleźć plik pasujący nazwą do schematu “C-00000291*.sys” i usunąć go. (np. C-00000291-00000000-00000032.sys)
  • Zrestartować komputer.

W rzeczywistości rozwiązanie jest prostsze, po punkcie pierwszym z powyższej wskazówki (czyli bootujemy Windows w trybie bezpiecznym lub odzyskiwania) jedyne co trzeba zrobić to zmienić (na jakąkolwiek) nazwę podfolderu CrowdStrike (z punktu drugiego). I tyle.

Jednak ponieważ cała awaria dotyczy przede wszystkim firmowych komputerów, to zanim cokolwiek zaczniecie kombinować (o ile w ogóle macie uprawnienia, w co wątpię), lepiej sprawę zostawić specom od IT w waszej firmie. Swoją drogą rozbawił mnie trafny żart ekipy Niebezpiecznik.pl:

Podmioty dotknięte awarią, niejednokrotnie duże korporacje, raczej sprawy nie zostawią by się rozpłynęła po kościach. Przerwy w działaniu systemów to konkretne straty, nie tylko ja spodziewam się odszkodowań czy serii pozwów.

Tyle, że ja spodziewam się raczej adresowania pretensji (słusznych!) do CrowdStrike. CEO tej firmy, George Kurtz, w swojej publicznym poście poinformował, że nie jest to incydent związany z bezpieczeństwem ani cyberatak. Zapewne chciał uspokoić. Licznych podmiotów nie uspokoił, a jedynie potwierdził, że globalny problem jest głównie winą firmy, którą Kurtz reprezentuje.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .