【 資安警訊 】- CrowdStrike出包為何掀起史上IT最大癱瘓？

發布編號：OIS-CTI-2024-07-004

情資來源：iThome、天下雜誌、crowdstrike

事件類型：漏洞警訊公告

內容說明：

資安軟體 CrowdStrike 微小的更新，為什麼會引發使用微軟 Windows 軟體的裝置出現「藍色死亡螢幕」，更造成企業大癱瘓？甚至讓全球最先進國家的機場、航空公司和醫院，重回勞力密集的手工時代？

圖片來源：IThome

當全球許多人感謝老天，終於到週五了，打開電腦或工作必備電子設備，卻發現了藍色死亡螢幕（Blue screen of death）。

微軟合作的資安大廠 19 日出包，衍生成史上最大規模 IT 大當機，影響無數企業和使用者，資安專家估計，背後牽涉的經濟成本，可能高達好幾十億美元。

這又是一個微小技術轉換，足以招致廣泛破壞的例子。

CrowdStrike 發生了什麼事？

週五，全球多國企業裡跑著微軟 Windows 的個人電腦、伺服器和 IT 設備大當機，受影響的使用者眼前一片「藍」，顯示 Windows 罷工死當。

微軟指出，問題在於資安軟體 CrowdStrike 軟體更新出包。CrowdStrike 資安軟體 Falcon 產品可以在裝置內，或是透過雲端，幫助裝置抵禦惡意軟體。結果更新出問題造成全球大當機，資安軟體儼然變成惡意軟體。

Crowdstrike 執行長庫茲（George Kurtz）表示，「問題出在為 Windows 更新時，出現缺陷」。

他也解釋，以蘋果 MacOS 和開源 Linux 作業系統運作的電腦和伺服器則不受影響。

他說，「這不是安全事件或網路攻擊。問題原因已經找出來，個別處理，正全力補救中」。

CrowdStrike 是終端安全軟體最大供應商之一，捍衛終端裝置的資安，像是筆電、手機和伺服器，以及零售商店內的支付系統和提款機。

規模之大，任何跑著Windows軟體的裝置都不能倖免。 IT 大災難影響美國、歐洲，以至澳洲、日本和印度的航空公司、銀行、媒體公司和醫院系統。

CrowdStrike 出包，為什麼會導致史上最大IT災難？

英格蘭華威大學網路安全專家萊里（Harjinder Singh Lallie）說，這一波 IT 大當機規模前所未見。

伯明翰大學資工學院講師班騰（Ian Batten）說，諸如 CrowdStrike 之類的網路安全和病毒掃描軟體為了有效運作，相較普通應用程式，如瀏覽器或遊戲，在電腦系統中有更高的執行優先權、控制權，「深入系統核心」。

班騰解釋，但這也意味著，如果它出了錯，系統為了保護它，就會死當。

微軟雲端服務平台 Azure 上的客戶也受影響，屋漏偏逢連夜雨的是，Azure 稍早自己也出問題，讓問題更複雜。

災情有多嚴重？

許多微軟服務使用者用藍色死亡螢幕（BSOD）開始週五的一天。

全球 3 萬 1000 多架航班延誤或是直接取消，美國聯邦航空總署基於通訊安全隱憂，要求美國聯合航空、美國航空、達美航空停飛。

荷蘭、德國、英國、以色列、香港和南韓機場也受影響，多個機場改成人工幫旅客辦理一切業務，也因此讓機場壅塞、人滿為患。

圖片來源：天下雜誌

全球多處醫院也受影響。紐約一個癌症中心表示，因為技術中斷，「暫停所有需要麻醉的手術」。麻省總醫院也指出，必須取消所有先前排定的非緊急手術和看診。

英格蘭國民保健署說，此次當機影響週五「絕大多數」的家醫門診，也影響線上掛號和病例系統，但將先用紙本病歷，病患可以照常看診。

以色列健康部門則指出，技術問題影響十多家醫院，先啟動人工和紙本作業。德國北部城市兩座醫院則取消了非緊急手術。

部分 911 緊急救援電話也掛點，阿拉斯加州部門用臉書貼文，告知緊急需求者須打另一個電話號碼。

2024 巴黎奧運下週開幕。巴黎奧運籌備委員會表示，系統大亂，但情況還在控制內。票務系統正常，但會打亂一些制服派送和身分認證工作。部分代表團可能會經歷班機大亂的問題。

裝置大當機，成為駭客眼裡的可乘之機。美國網路安全和基礎設施安全局（CISA）表示，已經注意到駭客趁火打劫，利用當機加強網路釣魚攻擊和其他網路攻擊。CISA 說，正與 CrowdStrike 及其他公司合作，解決由廣泛的資訊科技停機引起的問題。

修復 CrowdStrike 問題，重回手工時代

CrowdStrike 表示問題可排除，但在許多情況相當費力。每台受影響的設備必須由管理員手動重啟到安全模式，然後手動刪除有問題的 CrowdStrike 文件。

如果一家企業有數百或數千台筆記型電腦、桌機和伺服器受影響，可能需要一個工程師一次又一次地重複這個過程。

微軟一個狀態頁面顯示，一些 Windows 虛擬機使用者透過反覆重啟電腦，終於恢復了正常運作，但有些案例必須重啟多達 15 次。

微軟補充說，受影響的企業組織也可以嘗試透過還原到先前的系統備份來恢復設備，但也承認，在死當情況下並不可行。

前 FBI 官員歐尼爾（Eric O’Neill）說，「沒有投資快速備份解決方案的公司，這下陷入困境了。」

網絡安全研究員懷特（Kenn White）告訴CNN，「障礙排除過程，是一項非常勞動密集的手工工作。」

影響意涵

週五的藍色死亡螢幕事件，再次提醒了，這個世界的運作，是如此依賴於少數幾家公司，一旦發生技術性問題，影響範圍深遠。

特別是在當今的網絡經濟中，供應鏈中的一環出現故障，就可能導致上下游的骨牌效應。

英國羅浮堡大學網路安全專家佩克（Andrew Peck）舉了簡單的例子，用電子支付買咖啡來思考，看似簡單的交易，其實依賴多台電腦連線合作，從咖啡店銷售點，到支付處理的後端系統。

這還只是咖啡，「其他更大的企業，背後的鏈條就愈長，鏈條中的任何一台電腦出現故障，交易就無法完成了」。別說交易了，手術延後或停擺，更是生死交關的事。

影響平台：

●       Crowdstrike Falcon 平台 for Windows用戶

建議措施：

●      Crowdstrike 官方提供的建議措施

技術細節

Ø   有關中斷的技術詳細資訊可在此處找到：閱讀部落格發佈時間 2024 年 7 月 20 日 0100 UTC

Ø   我們向客戶保證 CrowdStrike 運作正常，問題不會影響我們的 Falcon 平台系統。如果您的系統運作正常，安裝 Falcon Sensor 不會對其保護產生影響。 Falcon Complete 和 OverWatch 服務並未因該事件而中斷。

Ø   CrowdStrike 已確定此問題的觸發因素是與 Windows 感測器相關的內容部署，我們已恢復了這些變更。內容是位於 %WINDIR%\System32\drivers\CrowdStrike 目錄中的通道檔案。

n   時間戳記為 2024-07-19 0527 UTC 或更高版本的通道檔案「C-00000291*.sys」是恢復的（Good）版本。

n   時間戳記為 2024-07-19 0409 UTC 的通道檔案「C-00000291*.sys」是有問題的版本。

Ø   注意：CrowdStrike 目錄中存在多個「C-00000291*.sys 檔案是正常的 – 只要該資料夾中的其中一個檔案的時間戳為 05:27 UTC 或更高版本，該檔案就會成為活動內容。

Ø   症狀包括主機遇到與 Falcon 感測器相關的錯誤檢查\藍屏錯誤。

Ø   未受影響的 Windows 主機不需要任何操作，因為有問題的通道檔案已恢復。

以上內容供大家參考，詳細內容可點及下方連結進行查看，謝謝。