吳明宜上周 Crowdstrike 端點安全軟體更新不當造成全世界廣泛的 IT 斷線事件,微軟昨(21)日指出,全球共有約 850 萬台 Windows 機器因此暫停運作。
事件發生在上周五 (7/19) 世界協調時 (UTC) 約 1:00(台北時間早上 9:00)左右。根據 Crowdstrike 說明,本事件是源自 Crowdstrike 端點防護與回應 (endpoint defense and response, EDR) 名為 Falcon Sensor 的 Windows 版軟體部署工具使用的頻道檔案 (channel file) 出錯,觸發 Windows 系統藍色死亡螢幕 (BSOD),以及重開機循環。事件發生時,微軟提供暫時解法,告知用戶需要在安全模式下,進入 BitLocker 刪除出問題的 Crowdstrike 頻道檔案排除問題。
Crowdstrike 強調這次事件並非網路攻擊,僅影響 Windows 終端機器,Mac 和 Linux 版本皆可正常運作。本事件也不影響 Falcon 平台系統,如果終端已經安裝了 Falcon sensor,就不會損及 Crowdstrike 提供的防護。
微軟則說明,估計 Crowdstrike 更新事件影響 850 萬裝置,佔所有 Windows 機器不到 1% 。但即使是這麼小比例,卻造成這麼廣泛的經濟和社會影響,顯見使用 Crowdstrike 產品的關鍵服務企業之規模。
根據 Crowdstrike 網頁,在 7/19 世界協調時間 (UTC) 0527(台灣時間 7/20 1:27am)以後下載更新的 Windows 機器都應該是正常的。 CNBC 形容此次事件為歷來最大的 IT 停機事件,多家線上新聞直播中斷、主要港口因電腦停機暫停營運,機場和醫院等公共服務則必須改為人工服務。
微軟說,本事件突顯整個生態體系緊密相連的特性:從全球雲端供應商、軟體平台、資安業者和其他軟體業者到客戶。它也提醒以安全部署來營運,以及利用現有機制災難復原的重要性。
來源:Crowdstrike 、 Microsoft 、 CNBC