資安業者CrowdStrike傳出更新導致Windows電腦出現當機的現象。今天下午約1時開始,傳出有用戶在社群網站Reddit、X反應電腦當機的情況,並出現藍色當機(BSoD)的現象,發生原因與名為csagent.sys的系統檔案有關,而這個檔案就是EDR系統CrowdStrike Falcon的重要元件。
這樣的情況已在全球造成災情,例如:美國、印度多家航空公司營運出現影響,美國聯邦航空總署(FAA)對所有航班祭出停飛令;印度機場出現手寫登機證的情形。而在國內,也出現桃園機場8家航空公司緊急採取人工劃位作業、臺大醫院傳出部分系統發生短暫當機,而臺北榮總的急診、住院服務櫃臺、檢驗及配藥的部分受到影響。
針對這起事故,我們也詢問CrowdStrike臺灣總經理陳琤琤,她表示未被授權發言而無法說明。
有人在社群網站Reddit指出,CrowdStrike已對用戶發出資安公告,標題是與Falcon Sensor相關的Windows當機事故,並表明他們的工程團隊著手處理此事,用戶不要再填寫新的支援工單通報。他們後續也會更新處理的情形。不過,這份資安公告並非所有人都能存取,必須為該公司用戶才能檢視。
這樣的當機事故出現後,我們也聽聞有部分IT人員透過安全模式開機,更改這套EDR系統的資料夾名稱或主程式檔案,緩解上述當機的情況。但值得留意的是,這種暫時解決措施會失去相關防護效果,最好在資安業者提供修補程式之前,應暫停使用電腦。
不過,後來有用戶在社群網站張貼CrowdStrike提出的臨時解決方法,其做法是重新開機到安全模式,存取C:\Windows\System32\drivers\CrowdStrike資料夾,將檔名為C-00000291開頭的系統檔(.SYS)全數刪除,就能在維持該EDR系統提供相關防護的情況下正常開機、進入Windows作業系統。
除了Windows電腦因CrowdStrike Falcon元件更新造成災情,微軟今天凌晨也發生服務停擺的狀況,據傳也與CrowdStrike有關。
而在世界協調時間(UTC)7月19日9時40分,微軟在Azure服務狀態公告頁面,證實他們的確受到CrowdStrike的影響。微軟表示,他們察覺問題出在:執行CrowdStrike Falcon代理程式的Windows與Windows Server作業系統的虛擬機器,這些系統可能遭遇系統臭蟲檢查(藍白當機畫面,BSOD)的問題,而卡在重新啟動的狀態,此問題開始出現的時間是世界協調時間7月18日19時。
另一個微軟公告雲端服務狀態的頁面,也提出相同說明,並增列CrowdStrike的相關公告部落格文章網址連結。
CrowdStrike在這篇公告提到,Mac與Linux這兩個系統不會受到影響,並強調本次事件並非資安事故或網路攻擊。
熱門新聞
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10
2024-12-08