北京时间2024年7月19日下午,全球大量Windows用户在社交媒体上晒出电脑蓝屏画面,出现了大量 Windows 10电脑崩溃、显示蓝屏死机、无法重新启动的案例。在国内“微软蓝屏”迅速登顶微博热搜,成为热议话题。随后,蓝屏问题被确认与CrowdStrike的软件更新有关,导致Windows用户出现了蓝屏现象。
亚信安全认为,“提前下班”热梗的狂欢背后,应成为对网络安全需防患于未然,构筑质量底线的深入思考和行动。
影响范围
这一次的大故障影响到了全球多个地区的Windows用户,影响波及LME交易所、多家银行、航空公司等行业:
美联航、美国航空和达美航空已对所有航班发出地面停飞指令;
美国阿拉斯加州911紧急热线瘫痪;
日本多家航空公司航班取消或延误;
菲律宾多家航空公司因微软故障受影响;
德国首都柏林勃兰登堡机场陷入瘫痪;
多家韩国航空公司受到微软系统故障影响;
丹麦首都哥本哈根的自动火灾报警器都出现了问题;
英国各地的火车公司出现延误;
部分北美市场股票价格目前不正确;
澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响;
ABC新闻等几家媒体正经历严重的网络中断。
事件原因
据公开信息,蓝屏死机的错误代码为 PAGE_FAULT_IN_NONPAGED_AREA,此次蓝屏死机似乎是因为驱动程序文件 csagent.sys 引起的,该驱动文件属于美国网络安全公司 Crowdstrike。此次引发全球蓝屏死机的原因,可能是 Crowdstrike 发布了软件或病毒库更新引起了兼容性问题。具体影响路径如下:
1.全球推送错误配置:CrowdStrike将错误配置推送给全球用户,导致安装了“Falcon”的设备都接收到错误更新。
2.全球Windows设备蓝屏:接收到错误配置的设备在安装更新后出现蓝屏问题,特别是装有csagent.sys驱动的Windows系统。
3.云厂商客户的虚拟机蓝屏:由于许多企业在云环境中也安装了CrowdStrike的csagent驱动,因此云厂商客户的虚拟机也出现了蓝屏问题。
这场由技术故障引发的全球性混乱再次突显了现代社会对于信息技术的依赖性以及相应的脆弱性。它不仅影响了普通公民的日常生活,还对经济活动造成了广泛的干扰。随着事态进一步发展,全球都在紧张地关注这一事件的最新进展。
潜在影响
设备影响规模:目前估计,在最坏的情况下,全球可能面临数百万至千万数量级的设备受到波及,这一情况极具破坏性。
恢复过程挑战:受攻击影响的设备可能需要进行逐一手动修复,这不仅效率低下,而且对于开启了BitLocker加密的设备,如果没有相应的密钥,整个恢复过程将更加复杂。
关键业务影响:一些受影响的设备可能直接关联至关键性行业和基础设施,如银行、政府机构和医疗机构等。这些部门的设备若发生错误或停运,将对其正常运营和安全性构成严峻挑战。
亚信安全建议
全球软件更新重视:本次事件凸显了在全球范围内同时进行软件更新和配置管理所面临的风险,尤其是当影响触及企业和关键基础设施的时候,任何细微的配置错误或更新故障,都可能导致严重的后果。
严格测试与谨慎更新:任何重要的软件更新或系统配置,在全面部署前,都必须经过严格的测试和评估过程。企业的IT团队在更新过程中应保持高度警觉,确保所有改变在推出前都有充分的安全保障和备份方案。
防患于未然:重要的更新必须在可控的环境下进行详细的测试,以避免因配置错误造成的连锁反应。企业需要在更新流程中构建严格的质量控制措施,确保每一次更新都像第一次一样谨慎,以防范潜在风险。
通用处置方案
1. 进入安全模式:
重启电脑,在启动过程中不断按F8键(部分Windows版本可能使用Shift+重启来进入高级启动菜单),选择“安全模式”。
在安全模式下,系统仅加载最基本的驱动程序和服务,有助于隔离和诊断问题。
2. 删除问题文件:
导航至C:\Windows\System32\drivers\目录,查找与“C-00000291*.sys”匹配的文件。
备份该文件后,尝试将其删除。这一步骤可以解除由Crowd Strike软件特定文件引起的冲突。
3. 卸载或回滚Crowd Strike软件:
如果删除文件后问题依旧,考虑卸载Crowd Strike软件,或回滚到之前的稳定版本。
卸载软件后,重启电脑,检查是否还会出现蓝屏问题。
扫一扫
105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
