Microsoft твърди, че дефектната актуализация на CrowdStrike Falcon, която причини широко разпространени прекъсвания на работата на системите Windows в целия свят, е довела и до зацикляне на компютрите с Windows 365 Cloud в цикли на рестартиране, което ги е направило неизползваеми.
„Бяхме уведомени за проблем, засягащ виртуални машини с Windows Client и Windows Server, работещи с агента CrowdStrike Falcon, които могат да се сблъскат с проверка за грешки (BSOD) и да заседнат в състояние на рестартиране“, заяви Microsoft на страницата си Service Health Status.
„Приблизително въздействието е започнало около 22:00 часа българско време на 18 юли. Допълнителна информация от CrowdStrike е налична тук.“
За устройствата с Windows, засегнати от дефектната актуализация на CrowdStrike, фирмата за сигурност предостави инструкции за рестартиране на устройствата с Windows в безопасен режим или среда за възстановяване и ръчно премахване на проблемния драйвер на ядрото.
Възстановяването обаче е по-ограничено или отнема повече време за компютрите с Windows 365 Cloud, на които е инсталирана CrowdStrike. Това е така, защото компютрите с Windows 365 Cloud са виртуални машини, работещи в облака, и не предлагат достъп до тези опции за възстановяване.
За компютрите с Windows 365 Cloud Microsoft препоръчва рестартиране на засегнатите виртуални машини (до 15 пъти) чрез портала Azure. Според Microsoft тази стъпка за отстраняване на неизправности се е оказала ефективна за някои администратори на Windows, когато са се опитвали да се възстановят от тези цикли на рестартиране.
Като алтернатива, клиентите могат да възстановят от резервно копие на Azure преди 22:00 бг време на 18 юли, с риск от евентуална загуба на данни, създадени след резервното копие.
В краен случай клиентите могат да използват Azure CLI или Azure Shell, за да поправят дисковете на операционната система офлайн, като изтрият файла Windows/System/System32/Drivers/CrowdStrike/C00000291*.sys и отново свържат оригиналната виртуална машина.
„Клиентите, които продължават да изпитват проблеми, трябва да се свържат с CrowdStrike за допълнителна помощ“, заяви компанията на страницата за състоянието на Azure.
„Освен това продължаваме да проучваме допълнителни възможности за намаляване на риска за клиентите и ще споделим повече информация, когато тя стане известна.“
Както вече неколкократно писахме, дефектен компонент в актуализация на CrowdStrike Falcon предизвика широко разпространени прекъсвания в петък, като срина системите Windows с грешки от типа „син екран на смъртта“ (BSOD).
Тези прекъсвания засегнаха много организации и услуги по целия свят, включително банки, авиокомпании, летища, телевизионни станции и болници, като извадиха от строя цели компании и паркове от стотици хиляди устройства.
Джордж Курц, президент и главен изпълнителен директор на CrowdStrike, заяви, че компанията „работи активно с клиентите“ и потвърди, че продължаващите проблеми са причинени „от дефект, открит в една актуализация на съдържанието за хостовете на Windows“. Курц също така предупреди клиентите да се уверят, че „комуникират с представители на CrowdStrike по официални канали“.
За съжаление, въпреки осигуряването на обходни пътища и внедряването на поправка при хостовете с Windows, попаднали в цикли на срив, компаниите вероятно ще трябва да се справят с последиците за известно време, като се има предвид, че прилагането на обходния път за сгрешената актуализация на CrowdStrike не може да бъде автоматизирано в голям мащаб.
В четвъртък вечерта промяна в конфигурацията на Azure предизвика и голямо прекъсване на работата на Microsoft 365, което според Microsoft е попречило на клиентите в централния регион на САЩ да получат достъп до различни приложения и услуги на Microsoft 365. За това също вече писахме.
Прекъсването на работата на Microsoft 365 засегна услуги като Microsoft Defender, Intune, Teams, PowerBI, Fabric, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage, Microsoft Purview и административния център на Microsoft 365. Службата за поддръжка на Xbox също потвърди, че проблемът е засегнал услугата Xbox Live, като заяви, че геймърите са имали проблеми с влизането в акаунтите си.
Въпреки че Microsoft приложи мерки за смекчаване на последиците, благодарение на които повечето засегнати приложения и услуги бяха възстановени онлайн, някои клиенти все още имат проблеми с достъпа и използването на услуги като Microsoft Teams и административния център на Microsoft 365.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
