Firma CrowdStrike dokonała dziś czegoś, o czym marzy wielu cyberprzestępców z całego świata — prawie jednoczesny BSOD (Blue Screen of Death — pol. Niebieski Ekran Śmierci) na milionach komputerów z systemem Windows to sztuka, której nikt jeszcze nie dokonał, a już na pewno nie specjaliści zajmujący się cyberbezpieczeństwem. Takiego zamieszania z powodu aktualizacji jednego pliku nikt się nie spodziewał, a skutki dzisiejszych wydarzeń odczuwać będziemy jeszcze wiele dni.
Historia aktualizacji, które sprawiają kłopoty, jest długa i często bardzo spektakularna. Mają je na koncie wszystkie największe korporacje, w tym Microsoft czy Apple. Firmy zajmujące się oprogramowaniem antywirusowym i pokrewnymi również nie są tu wyjątkiem. Wielokrotnie przecież zdarzało się, iż pliki były błędnie rozpoznawane jako zawirusowane tylko z powodu pomyłki w aktualizacji bazy wirusów.
Specjaliści z CrowdStrike dokonali dziś jednak czegoś, co w efekcie podpaliło pół świata, a w niektórych przypadkach doprowadziło choćby do niewielkich ataków paniki. Darujemy tu sobie wchodzenie w szczegóły, ale skutek był taki, iż Falcon, czyli platforma odpowiedzialna za cyberbezpieczeństwo IT zaktualizowała oprogramowanie na milionach obsługiwanych przez nią komputerów, a to, w wyniku błędu w jednym z plików, doprowadziło do zablokowania dostępu do jednej z ważniejszych funkcji systemu Windows. W efekcie komputery wyświetlały komunikat o błędzie (BSOD) i wpadały w pętlę restartów.
CrowdStrike proponuje rozwiązanie i zastępuje błędną aktualizację poprawnym plikiem
How to fix the Crowdstrike thing:
1. Boot Windows into safe mode
2. Go to C:WindowsSystem32driversCrowdStrike
3. Delete C-00000291*.sys
4. Repeat for every host in your enterprise network including remote workers
5. If you're using BitLocker jump off a bridge
Firma CrowdStrike, odpowiedzialna za całe zamieszanie, dość gwałtownie podała rozwiązanie problemu, a po kilku godzinach wycofała wadliwą aktualizację i zastąpiła ją poprawnym plikiem. Problem w tym, iż w przypadku wielu maszyn nie da się wykonać naprawy zdalnie i przy każdej z nich musi pojawić się ktoś, kto zrobi to na miejscu. W każdej dużej organizacji administratorzy IT spędzą na tym zadaniu godziny, jeżeli nie dni. Smaczku do całej sytuacji dodaje fakt, iż wydarzyło się to tuż przed weekendem, więc pracownicy wykonujący te naprawy humorem tryskać nie będą.
Klientami CrowdStrike są najczęściej duże firmy (np. ponad połowa pierwszej 100 Forbes) i to ich właśnie dotknął problem. Mowa tu o liniach lotniczych, lotniskach, szpitalach, ochronie zdrowia, wielu stacjach telewizyjnych, a choćby krytycznych instytucjach jak numer 911 w USA. Działa tu też system naczyń połączonych, bo cóż z tego, iż części instytucji problem nie dotknął, skoro ich podwykonawcy mogli jedynie patrzeć, jak ekrany ich komputerów świecą na niebiesko. Efekty tego zdarzenia będziemy odczuwać jeszcze wiele dni, a straty pójdą w miliardy.
