微软蓝屏全球停摆，这个锅是ta的？一次更新酿成全球灾难

↑ 点击 蓝字 关注极市平台

来源丨新智元

极市导读

周五下午，一次安全软件的更新，竟然引发了全球停摆。航班停飞，银行宕机，全球打工人摸鱼狂欢，我们亲眼见证了这场「史上最大规模IT故障」。 >> 加入极市CV技术交流群，走在计算机视觉的最前沿

活久见！

只因一次更新，Windows集体蓝屏，全世界直接「断片」了——

周五大礼包来了，打工人狂喜

HaveIBeenPwned网络安全研究员Troy Hunt表示：这将是史上最大规模的IT故障

大批金融机构、电视广播公司、医疗机构、支付系统原地瘫痪，甚至连便利店和售货机都「停摆」了。

在德克萨斯州的一家星巴克，系统全面报错，咖啡都点不了了

在英国的医院，医生无法访问患者记录和预约系统，只能在纸上记录患者病情、手写处方。

Sky News和BBC也暂时停播。

同时，欧洲、澳大利亚和印度的银行客户也发现：自己的在线账户登不上了。

而要说受到打击最严重的，当属航空公司了。

数据显示，全球有超过4000架航班被取消。

对美国空中交通的影响

在美国，United、Delta和American等航空公司被迫停飞和延误，大批乘客滞留在机场。

美国纽约的拉瓜迪亚机场，人们正焦急地等待航班

菲律宾的尼诺·阿基诺国际机场摩肩接踵

西西里岛巴勒莫机场，乘客直接睡倒在地

印度网友则拿到了人生中第一张手写登机牌

全球一片混乱之际，「始作俑者」被揪了出来——它就是网络安全巨头 CrowdStrike 。

微软：我不背这个锅

网友玩梗系列

实际上，国外存在着大量运行CrowdStrike软件的计算机系统——

这些设备包括杂货店的收银机、机场和火车站的出发信息板、学校的计算机、工作用的笔记本电脑和台式电脑、机场的值机系统、航空公司的票务和调度平台、医疗网络等等。

因此，CrowdStrike的故障会在全球范围内以各种方式造成混乱。

闯出如此大祸之后，「罪魁祸首」CrowdStrike的股票在收盘时已暴跌11%，市值蒸发了近100亿美元。

对它来说，这是2022年以来最糟糕的一天。

外媒锐评：一家本应防止故障的公司，自己却造成了全球最大的故障

对此，AI大牛Karpathy一针见血地提出了个中关键：我们该如何进行设计才能防范这种风险？

全球大崩溃

在机场，人们焦急地等待着系统恢复。

超市也只能用现金付款了。

时代广场的广告牌，变成了一片空白。

联合太平洋公司的部分区域受到影响，团队和调度员之间的通信一度中断。

联邦快递表示，公司经历了严重故障，美国和欧洲的一些UPS计算机系统都受到影响。

在麻省布里格姆总医院，所有非紧急的手术、医疗就诊都被临时取消。

英国吉尔福德皇家萨里医院直接宣布发生「严重事件」，医院的放射治疗IT系统Varian等都因此宕机。

英国国家卫生服务中心表示，大多数全科医生办公室都出现了服务中断。

AWS的客户发现，一些使用了CrowdStrike的Windows Instances、Windows Workspaces和Appstream应用，都遇到了问题。

在亚马逊仓库，员工用来管理日程和提交休假申请的A to Z程序直接瘫痪了。可以提前支取收入的Anytime Pay内部服务，也无法使用。

亚马逊的货运业务也出中断了。使用Relay平台的卡车司机，则无法在仓库提货。

特斯拉部分工厂的生产线，也被迫停止了。服务器、笔记本电脑和制造设备，都发生了故障。

在南非的银行，服务也一度中断。

总之，银行、媒体、机场……全球范围内任何使用CrowdStrike的系统都逃不过。

甚至，此事还惊动了美国总统和国土安全部。

如何修复

目前，官方已经给出了两个推荐的解决方案。

其中一个是将系统回滚至0409 UTC前创建的snapshot，而另一个则是利用管理员权限进行修复：

1. 将Windows启动到安全模式或Windows恢复环境

2. 进入C:\Windows\System32\drivers\CrowdStrike目录

3. 找到匹配「C-00000291*.sys」的文件并删除

4. 正常启动电脑

听起来很简单，是吧？

然而，由于设备已经断联，这些操作都只能通过手动执行。

这意味着IT团队不仅需要在现实中找到受影响的远程电脑，而且还需要找到对应的Bitlocker恢复密钥。（如果存在主机里，那就直接死锁了）

那么问题来了，那些部署在偏远地区，或者各种「犄角旮旯」的设备怎么办？

详见官方说明：https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/

挪威网络安全公司Promon的首席技术官Tom Lysemose Hansen表示，持续的全球IT故障可能并没有很简单的解决办法。

罪魁祸首是谁？

CrowdStrike于2011年成立，总部位于德克萨斯州奥斯汀，主营业务是为企业提供基于云的企业安全解决方案。

CrowdStrike于2019年6月12日在纳斯达克首次公开募股

其中，一款名为 Falcon 的工具，可以通过识别异常行为和漏洞，来保护计算机系统免受恶意软件等威胁。而它正是周五全球大崩溃的原因。

CrowdStrike CEO George Kurtz

截至1月，CrowdStrike的业务已经遍及170多个国家，拥有29000个客户，其中500多家位列财富1000强。

世界上最大的科技公司如谷歌、亚马逊和英特尔，零售巨头Target，顶级F1车队梅赛德斯AMG，甚至美国50个州中的43个，都是它的客户。

队服上印着赞助商CrowdStrike巨大logo的梅赛德斯，果然的在当天的FP1中全部蓝屏了

在帮公司发现和防止安全漏洞方面上，CrowdStrike发挥着重要作用，自称拥有「最快的平均时间」来检测威胁。

自2011年成立以来，CrowdStrike已帮助调查了多起重大网络攻击，例如2014年索尼影业黑客攻击，以及2015年和2016年俄罗斯对民主党全国委员会的网络攻击。

截至周四晚间，CrowdStrike的估值还超过了830亿美元。

CEO：已经在修了

对此，CrowdStrike创始人兼CEO在第一时间发文表达了诚挚的道歉，并表示公司已经动员了所有力量来帮助客户修复问题。

官方通告：https://www.crowdstrike.com/blog/our-statement-on-todays-outage/

George Kurtz极力保证，公司正在「积极与受Windows主机单一内容更新中发现的缺陷影响的客户合作」，并强调Mac和Linux主机不会受到影响。

此外，他提醒客户保持警惕，在寻求支持时一定要和CrowdStrike的官方代表联系，因为「竞争对手和骗子会趁机出动」。

在X上，他表示，此次事件并不属于安全事件或网络攻击，「问题已被识别、隔离，修复程序已部署」

微软CEO纳德拉也发帖表示，微软正在跟CrowdStrike和整个行业密切合作，帮客户的系统恢复。

帖子下面出现了我们熟悉的身影

软件工程师被困机场

32岁的游戏开发公司CTO Ahmed Al Sharif，有着近20年的软件工程师生涯。曾是初创公司的创始人，也曾在像EA和Meta这样的大厂工作过。

他原计划在当地时间上午11点从巴塞罗那飞往伦敦希思罗机场出差。

然而，到了机场之后，却惊讶地发现航班停飞了。

早有迹象

在早上8点出发前往机场时，他就已经发现自己无法登录网上银行应用程序，登录基于Outlook的电子邮件时速度也很慢。但他以为只是酒店的WiFi出了问题。

大约在早上8:20到达机场时，机场已经挤满了人。队伍非常长。几个值机柜台显示蓝屏，没有人能办理手续。

这时，他才意识到了事件的严重性：

「我不知道该排在哪里，当我问一位机场工作人员时，他们告诉我现在排队没有意义，因为票务、预订和订位系统都出了问题。」

混乱持续了一天

当天，机场的行李托运机、自动售货机和大多数显示屏都无法正常工作。

整个值机过程，都是手动进行的——

在拿到手写的纸质机票之前，必须向工作人员出示电子邮件作为付款证明，来证明确实预订了当天的航班。有托运行李的乘客都必须将行李带到登机口，然后机场工作人员手动将行李扔进货舱。

相比于那些早已在机场等了超过11个小时的人来说，他还是很幸运的——飞机最后「只」延误了6个小时。

CrowdStrike如何踩在了微软身上？

虽然CrowdStrike在网络安全行业里非常有名，但直到今天，都没有人意识到它在Windows平台上的主导地位——区区一个第三方解决方案，竟能对所有Windows设备造成如此大的影响。

而且，作为软件开发的规则之一，不在周五推送修复可以说是基本「常识」了。（避免在周末召集大量的人力来处理因为更新而出现的问题）

如今，这个原则被CrowdStrike打破了。

Sharif认为，如果进行了更多的尽调，甚至让政府加入监管，这样的事件就不会发生。

独立网络安全研究员、《网络安全哲学》作者Lukasz Olejnik表示，「我们的软件是高度互连和相互依赖的。但这样就会存在很多单点故障，特别是当组织中存在软件单一文化时。」

网友狂欢

昨天下午，微软过得是十分煎熬。

但被微软意外提早解放了的打工人，则掀起了一场全球狂欢。

「感谢Crowdstrike带来了世界和平」

与此同时，网友们也纷纷在X上玩起了梗。