В работе Windows произошел глобальный сбой

В работе устройств с системой Windows произошел глобальный сбой, который привел к отмене рейсов, проблемам в работе банков, фондовых бирж и СМИ в нескольких странах, сообщили Reuters и ABC News. В Microsoft заявили, что сбой начался 18 июля примерно в 18:00 по восточному времени (01:00 мск 19 июля), когда часть клиентов столкнулись с проблемами в работе облачной платформы Azure, отмечает Reuters.

Register пишет, что причиной сбоя стали ошибки в обновлении от поставщика решений информационной безопасности CrowdStrike, которое «блокирует компьютеры» с Windows. Пользователи жалуются на появление «синего экрана смерти» на устройствах с Windows 10. Позже в Microsoft заявили о постепенной стабилизации ситуации, там отметили, что работают над устранением неполадок.

На кого повлиял сбой

Крупнейшие американские авиакомпании, в том числе American Airlines, Delta и United Airlines, в пятницу объявили об отмене рейсов из-за проблем со связью, отмечает Reuters. О неполадках также сообщила турецкая Turkish Airlines, у ее клиентов возникли проблемы с бронированием билетов и регистрацией.

Сбои в работе IT-инфраструктуры также были зарегистрированы в аэропортах Берлина, Мельбурна и в Гатвике в Великобритании, сообщает ABC News.

С проблемами столкнулись банки и фондовые биржи, в том числе Лондонская фондовая биржа, Lloyds Bank, южноафриканский Capitec, кроме того, сбой коснулся платежных систем Visa и Mastercard, свидетельствуют данные DownDetector.

В Великобритании о неполадках, которые могут привести к отмене поездов, сообщил железнодорожный оператор Southern Railway. Кроме того, один из крупнейших телеканалов Sky News был вынужден прервать трансляцию.

Аэропорты в России, по данным на 11:30 мск, работают штатно, полеты выполняются по расписанию, сообщили в Росавиации. Там указали, что участники отрасли еще несколько лет назад начали внедрять российское специализированное ПО.

Причины сбоя

Сбой Windows-устройств связан с защитным решением американской компании CrowdStrike, а именно с компонентом Falcon sensor, который устанавливается в агентском режиме на защищаемые устройства, рассказал Forbes гендиректор Security Vision Руслан Рахметов. «Судя по всему, очередное автоматическое обновление от CrowdStrike установило во все Windows-системы драйвер, содержащий критическую ошибку, что и привело к «синему экрану смерти», — отметил Рахметов.

Функции, которые выполняли серверы с Windows, были полностью нарушены после получения обновления, рассказывает руководитель департамента сетевой безопасности компании F.A.C.C.T. Никита Кислицин. «Для банков, аэропортов, больниц это означает тяжелые последствия в виде нарушения работы ключевых процессов. Интересно, что проблема затронула даже сам Microsoft: компания использовала Crowdstrike в своей платформе Azure», — объясняет он.

Ситуация осложняется тем, что пока известен лишь вариант решения проблемы, который требует «ручных действий» — загрузки Windows в «безопасном режиме» и удаление битого драйвера вручную, что займет продолжительное время, если в инфраструктуре множество устройств, говорит Рахметов. Важно проводить тестирование всех обновлений — когда перед массовой установкой патча или обновления они ставятся на рабочие станции, которые не участвуют в критически важных процессах предприятия, отмечает руководитель продукта MaxPatrol VM, Positive Technologies Денис Матюхин.

По словам Рахметова, в России пользователей защитных решений от CrowdStrike до 2022 года было совсем немного, «а сейчас, вероятно, это единичные инсталляции». «ПО Crowdstrike очень популярно во всем мире, но Россия здесь в безопасности: в нашей стране эта компания не работает, и у нас может быть только незначительное количество устройств с данным ПО», — соглашается Кислицин. Он отмечает, что это уже вторая подряд проблема с Falcon Sensor за последнее время: в конце июня возникла схожая проблема с высокой утилизацией CPU после установки обновления модуля сканирования памяти.

Причиной сбоя могла стать серьезная ошибка разработчиков либо сложная кибератака на CrowdStrike, рассказал Рахметов. Киберугрозы, в том числе действия хакеров-инсайдеров или комплексные кибератаки на поставщиков услуг, не исключает и Артем Избаенков из ГК «Солар». «В современном мире зависимость от облачных сервисов и платформ, таких как Microsoft Azure, велика. Комплексные атаки на такие сервисы могут вызвать цепную реакцию сбоев. Это может быть намеренная атака на инфраструктуру или эксплуатация уязвимостей в программном обеспечении партнёров и поставщиков», — отмечает эксперт.

На теневых форумах хакеры обсуждают эту новость, но «без особой конкретики», говорит глава департамента Threat Intelligence F.A.C.C.T. Елена Шамшина. Сбой обойдется мировой экономике в «миллиарды ущерба и лишний раз напомнит о важности вопросов кибербезопасности», отмечает генеральный директор хостинг-провайдера RUVDS Никита Цаплин.