Глобални прекид рада ИТ система 2024

19. јула 2024. године, неисправно ажурирање безбедносног софтвера компаније КраудСтрајк довело је до прекида рада многобројних рачунара и виртуелних машина које користе Мајкрософт Виндоус.^[1]

Глобални прекид рада ИТ система изазван ажурирањем КраудСтрајк софтвера

Плави екран смрти на Ла Гвардија аеродромy изазван ажурирањем КраудСтрајк софтвера
Датум	19. јул 2024.; пре 1 дана (2024-07-19)
Локација	Свет
Тип	Пад рачунарских система
Узрок	Неисправно ажурирање софтвера Фалкон сензор компаније КраудСтрајк

Прекид рада утицао је на одвијање авио и железничког саобраћаја, на рад хитних служби, банака, хотела, берза и болница, електронско плаћање и емотивање ТВ и радио програма.^[2][3][4]

Техничка позадина

КраудСтрајк је америчка компанија која производи безбедносне софтвере намењене да заштите систем од сајбер напада. Производ Фалкон сензор је мрежни сензор који ради на нивоу оперативног система појединачног рачунара како би открио и спречио претње.^[5] КраудСтрајк периодично дистрибуира закрпе својим корисницима како би у софтвер додао заштиту за нове претње. Закрпа дистрибуирана 19. јула 2024. године изазвала је глобални прекид рада ИТ система.^[6]

19. јула 2024. у 04:09 по УТЦ времену, виртуелне машине са Виндоус оперативним системом на Мајкрософт Азур сервису постале су недоступне.^[7] У 06:48 Гугл клауд платформа пријављује исти проблем. У 07:15, Гугл је објавио да је закрпа за софтвер Фалкон Сензор компаније КраудСтрајк узрок проблема.^[8]

КраудСтрајк је издао службену потврду поводом проблема.^[6] У 09:45 по УТЦ времену Џорџ Курц, директор компаније КраудСтрајк, потврдио је да је ажурирање софтвера његове команије довело до проблема.

Узрок проблема

 

Плави екран смрти изазван ажурирањем Фалкон сензора

Ажурирање конфигурационе датотеке издато 19. јула 2024. у 04:09 по УТЦ времену било је у сукобу са клијентом сензора, што је довело до тога да погођене машине прикажу плави екран смрти са стоп кодом PAGE_FAULT_IN_NONPAGED_AREA.^[6] Компанија КраудСтрајк потврдила је да се не ради о сајбер нападу, већ о интерној грешци.^[9]

Проблем се манифестовао на машинама које користе оперативни систем Виндоус 7.11 или новији, попут Виндоус 10 и Виндоус 11 оперативних система. Машине које користе старије верзије Виндоус оперативног система, као и машине које користе Линукс и Мек ОС нису биле погођене проблемом.^[9]

Решење проблема

Издато је привремено решење за погођене машине које корисницима препоручује да:

1. Покрену Виндоус оперативни систем у Safe mode-у или Windows Recovery Environment-у,
2. Пронађу КраудСтрајк директоријум на путањи: C:\Windows\System32\drivers\CrowdStrike,
3. Пронађу и обришу датотеку: “C-0000291*.sys”,
4. Покрену систем поново.^[10]

Овај поступак мора бити одрађен локално на свакој појединачној машини.

За виртуелне машине попут оних у облаку проблем је такође могуће решити враћањем на забележено стање од 04:09 или раније по УТЦ времену. ^[6]

КраудСтрајк је у 05:27 по УТЦ времену поништио ажурирање које је довело до проблема. Уређаји који су покренути или конектовани на Интернет тек наког тога нису погођени проблемом.^[6]

Додатне компликације изазване употребом Битлокер механизма

Битлокер је безбедоносни механизам оперативног система Виндоус која омогућава ФДЕ, односно енкрипцију целог хард диска. Механизам је намењен да заштити диск од неовлашћеног приступа у случају да је уређај изгубљен, украден или неправилно изводен из употребе. Битлокер захтева употребу кључа или лозинке приликом покретања уређаја.^[11]

Проблем изазван ажурирањем Фалкон сензора додано је погоршан употребом Битлокер механизма у случајевима када су сервери где се чувају Битлокер кључеви такође били погођени.^[6]

Референце

1. Sedghi, Amy (2024-07-20). „Microsoft IT outage live: recovery from ‘largest outage in history’ may take weeks”. the Guardian (на језику: енглески). ISSN 0261-3077. Приступљено 2024-07-20. 
2. Dunstan, Joseph; Easton, Kaitlin (2024-07-19). „'Completely unprecedented' outage causes havoc with IT systems across globe — as it happened”. ABC News (на језику: енглески). Приступљено 2024-07-20. 
3. Browne, Ryan (2024-07-19). „How a software update from cyber firm CrowdStrike caused one of the world’s biggest IT blackouts”. CNBC (на језику: енглески). Приступљено 2024-07-20. 
4. Godfrey, Paul; Druker, Simon. „911 call centers back online after IT outage causes global chaos - UPI.com”. UPI (на језику: енглески). Приступљено 2024-07-20. 
5. „CrowdStrike Falcon Sensor”. catalog.redhat.com (на језику: енглески). Приступљено 2024-07-20. 
6. „Statement on Falcon Content Update for Windows Hosts”. crowdstrike.com (на језику: енглески). Приступљено 2024-07-19. 
7. „Azure status”. azure.status.microsoft (на језику: енглески). Приступљено 2024-07-19. 
8. „Google Cloud Service Health”. status.cloud.google.com (на језику: енглески). Приступљено 2024-07-19. 
9. CrowdStrike (2024-07-20). „Technical Details on July 19, 2024 Outage | CrowdStrike”. crowdstrike.com (на језику: енглески). Приступљено 2024-07-20. 
10. „Важно обавештење за кориснике CrowdStrike-а - Национални ЦЕРТ Републике Србије”. www.cert.rs. Приступљено 2024-07-19. 
11. „BitLocker overview - Windows Security”. learn.microsoft.com (на језику: енглески). 2024-06-18. Приступљено 2024-07-20.