Известно ли вам неписаное правило разработчиков: «Не выпускать обновления в пятницу»? Мы о нём осведомлены, а вот в CrowdStrike, похоже, нет. Наши коллеги по индустрии выпустили в пятницу небольшой драйвер, который спровоцировал масштабный сбой в компьютерных системах по всей планете.
Что случилось
Ошибочное обновление платформы CrowdStrike EDR затронуло устройства с Windows по всему миру — тысячи компьютеров одновременно отобразили пользователям «синий экран смерти» (BSOD). Например, проблемы возникли в аэропортах США, Испании, Германии, Нидерландов и других государств.
Массовый BSOD в аэропортах = внеплановый выходной для персонала
Основные сферы, пострадавшие от инцидента:
- Лондонский аэропорт Хитроу сообщил о задержках рейсов из-за технических неполадок
- Scandinavian Airlines уведомила клиентов: «Возможны сложности с бронированием из-за международного ITHist сбоя»
- В Новой Зеландии временно прекратили работу банки, телекоммуникационные и транспортные сервисы
Проблемы также зафиксированы в медицинских учреждениях, розничных сетях, нью-йоркской подземке и крупнейшем банке ЮАР. Полный перечень затронутых организаций продолжает пополняться.
Как исправить ошибку CrowdStrike
Восстановление инфраструктуры осложняется необходимостью ручной перезагрузки устройств в безопасном режиме — что в корпоративных сетях часто требует участия IT-специалистов.
Алгоритм устранения сбоя:
- Выполните загрузку ОС в безопасном режиме
- Откройте директорию C:\Windows\System32\drivers\CrowdStrike
- Удалите проблемные файлы csagent.sys или C-00000291*.sys
- Перезапустите устройство в стандартном режиме
Пока администраторы устраняют последствия, некоторые организации нашли временные решения — например, сотрудники индийского аэропорта перешли на ручное оформление посадочных документов.
Индийские аэропорты перешли на ручную обработку данных. Источник
Как можно было избежать сбоя
Профилактика таких ситуаций начинается с базовых принципов:
- Избегайте пятничных релизов — при возникновении проблем командам не хватит времени на оперативное исправление
- Внедряйте многоступенчатое тестирование обновлений. Лаборатория Касперского с 2009 года использует систему проверки релизов на различных конфигурациях ОС, что подтверждено аудитом SOC 2
- Применяйте поэтапный запуск обновлений вместо массового распространения
Критически важно анализировать первопричины инцидентов и совершенствовать процессы. Решения Kaspersky Symphony предоставляют инструменты для построения комплексной защиты, включая высший уровень безопасности — Kaspersky Symphony XDR. Совместная работа над инфраструктурой поможет предотвратить влияние будущих глобальных сбоев на ваших клиентов.
