日本东京时间2024年7月19日13时30分左右开始,日本地区运行微软视窗(Windows)操作系统的电脑陆续开始出现访问异常问题。据美国微软日本子公司确认,安装了美国网络安全企业“群集打击”(CrowdStrike)软件的计算机上出现了该问题。
7月19日,微软蓝屏登上热搜。多位用户在社交平台分享的图片内容显示,公司的电脑出现蓝屏,提示“设备遇到问题,需要重启。”于是在周五的下午,不少用户“提前下班”。
这是一次全球性的IT系统故障。多个国家和地区的航班系统、银行系统和超市系统等受到影响而“瘫痪”。中国香港的机场系统也受到波及。当日微软官方发布公告称,正在调查影响用户访问各种 Microsoft 365 应用和服务的问题。
随后,蓝屏问题被确认与网络安全公司CrowdStrike的软件更新有关,其导致中国、新西兰、澳大利亚、日本、印度等地的Windows均出现了蓝屏现象。CrowdStrike目前正在全球范围内撤销该更新。截至发稿前,网络安全公司CrowdStrike美股盘前大跌超18%,微软跌超2%。
业内网络安全人士向贝壳财经记者分析称,此次蓝屏故障大概率是因为杀毒软件内的错误程序造成了Windows系统的程序错误,从而触发了Windows系统的自我保护机制。虽然问题出现后该公司积极补救,但还是对全球广大用户造成了很大损失。在云计算时代,业务系统稳定性面临的挑战将比以往更加严峻,企业迫切需要加强自身安全意识,合理应对技术故障,提前做好紧急事故预案,并重新评估其业务稳定保障、灾难恢复计划以及技术依赖的风险。
7月19日微软发布声明称,今天早些时候,CrowdStrike 的一次更新导致多个 IT 系统出现故障。我们正在积极帮助客户,协助恢复服务。
系统故障影响多国航班
中国香港机场无法自助登机
当地时间2024年7月19日,新加坡,微软公司旗下部分应用和服务出现访问延迟、功能不全或无法访问问题。因大范围系统技术故障,乘客在新加坡樟宜机场等待人工办理登机手续。
7月19日,微软公司旗下部分应用和服务出现访问延迟、功能不全或无法访问问题,进而出现全球范围内的IT系统故障。据央视新闻消息,西日本旅客铁道公司(JR西日本)列车行驶位置信息因Windows系统故障导致无法获取,澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等也受到影响。
当地时间2024年7月19日,美国加利福尼亚州旧金山 ,由于微软公司旗下部分应用和服务出现访问延迟、功能不全或无法访问问题,旧金山国际机场航班取消。
美国联邦航空管理局称,由于通讯问题,包括达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班于当地时间19日上午停飞。新加坡樟宜机场则表示,由于受到微软系统故障影响,一些航空公司在樟宜机场的登机手续将由人工方式办理。此外,飞常准数据显示,包括印度、英国、德国、西班牙等地机场的航班也受到了影响。
中国香港机场也受上述故障影响未能自助登机。当日,香港机场管理局(机管局)表示,因微软系统故障,应用该系统的相关航空公司服务受影响,须改用人工办理登机手续。香港机场管理局表示,航班运作暂时未受影响,已启动紧急应变机制跟进情况,呼吁旅客预留充足时间到机场。
打开香港国泰航空网站,页面上则弹出了“系统维修:目前无法提供航班预订服务”的信息,建议消费者使用“国泰航空手机应用程序”预订机票及管理行程。国泰航空还建议在香港国际机场登机的旅客,通过国泰航空网站或应用程序在线办理值机手续,并且获取电子登机牌。对于有托运行李的旅客,建议在航班出发前至少三小时抵达机场,以便有足够的时间办理值机手续。
7月19日下午,国泰航空一位工作人员对贝壳财经记者称,由于IT系统出现问题正在维修,网站预订机票、兑换航班以及航班信息查询服务等暂时不能使用,需要等系统维修恢复正常。
不过,截至目前,新京报贝壳财经记者采访获悉,吉祥航空、春秋航空、祥鹏航空、中联航等航空公司均表示并未受到影响。海航航空集团表示,目前核实到的信息显示,旗下航司境内航班均未受到影响。另外飞常准App显示,北京首都国际机场、北京大兴国际机场、上海浦东国际机场、广州白云国际机场都运营正常。
非网络攻击造成的安全事件
“业务稳定不仅是技术问题”
对于此次微软系统出现大规模故障问题的原因,北京时间7月19日晚间,微软发布声明称,今天早些时候,CrowdStrike 的一次更新导致多个 IT 系统出现故障。我们正在积极帮助客户,协助恢复服务。
在接到大量用户反馈后,CrowdStrike也发布声明表示,已经知晓此问题并在处理中,在Reddit论坛中,该公司工程师称正在撤销CrowdStrike的一项可能导致蓝屏死机的更改。
公开资料显示,CrowdStrike是位于美国加利福尼亚州森尼韦尔的一家网络安全公司,提供端点安全、情报威胁和网络攻击的安全服务,其于2019年在纳斯达克交易所上市。PC厂商戴尔在官网中介绍其称:CrowdStrike 利用高级端点检测和响应(EDR)应用程序和技术,提供业界卓越的下一代防病毒(NGAV)产品,该产品由机器学习提供支持,可确保在入侵发生之前将其阻止。
在工作原理方面,CrowdStrike是一种基于代理程序的传感器,可以安装在Windows、Mac或Linux操作系统上,适用于台式机或服务器平台。这些平台依赖云托管SaaS解决方案来管理策略、控制报告数据、管理和应对威胁。CrowdStrike 可以离线或联机工作,在文件试图在端点上运行时对文件进行分析。
7月19日下午,CrowdStrike首席执行官George Kurtz在X平台发文称,公司正在积极与受“单个Windows主机内容更新缺陷”影响的客户沟通工作。Mac和Linux主机不受影响。“这不是安全事件或网络攻击。问题已被识别、隔离并修复。”
e安行项目负责人丁晓对贝壳财经记者分析称,电脑蓝屏是微软的Windows系列操作系统在无法从一个系统错误中恢复过来时,为保护电脑数据文件不被破坏而强制显示的屏幕图像。“此次蓝屏故障大概率是因为杀毒软件内的错误程序造成了Windows系统的程序问题,从而触发了Windows系统的自我保护机制,至于问题点,需要CrowdStrike仔细研究,且因为此事件已对大量用户造成了实质损失,CrowdStrike应该将最终的问题原因公开披露。”
民间互联网安全组织网络尖刀创始人曲子龙则向记者提供了遇到相关问题时,用户可以尝试的解决方案:“开机时一直按F8,进入安全模式,将 C:Windowssystem32driverscrowdstrike 文件夹重命名,然后重启就可以暂时解决。搞不定的用U盘引导进PE系统(一个小型操作系统,主要用于故障排除、执行恢复操作、安装Windows 操作系统等)操作也行。”
“对这次事件CrowdStrike官方已经澄清,原因不是由于网络攻击造成的安全事件,而是因为软件自身缺陷造成。该公司的杀毒软件产品在全球范围内应用比较广泛,尤其是日本和美国地区。”在丁晓看来,该公司软件版本在未经过充分检验和测试情况下就面向市场广泛使用,是非常不负责任的行为,虽然问题出现后,该公司已经积极发布补救措施,但还是对全球广大用户造成了很大损失。“我们国家的信息化企业应该总结这个事件经验,积极做好自身开发的应用软件的测试工作,保障软件具有较好的可靠性,避免给使用者带来不必要的损失,也避免对公司自身带来名誉及经济损失。”
奇安信网络安全事件响应专家、威胁情报中心负责人汪列军则对记者表示,此次事件提醒业界和广大用户,即使是非常成熟的技术平台也可能遭遇意外故障。业务稳定和网络安全不仅是技术问题,更是管理和战略问题,需全面综合考虑各种因素。比如,涉及系统稳定性的软件厂商需要对自己的软件有更严格的质量管理,否则这种意外故障导致的业务连续性问题比恶意网络攻击还要大。此外,需要做好产品升级策略,确保灰度升级,控制放量节奏。出现事故时,平台和安全厂商需要积极主动给客户相应的解决方案,并积极与公众沟通,避免因为信息差等导致恐慌。
汪列军还提醒称,在云计算时代,业务系统稳定性面临的挑战将比以往更加严峻,企业迫切需要加强自身安全意识,合理应对技术故障,提前做好紧急事故预案,并重新评估其业务稳定保障、灾难恢复计划以及技术依赖的风险。例如,对业务有高稳定性要求的用户,可采用多供应商互为备份,以避免出现供应商单点故障,还可进行故障应急演习,对此类场景有应对预案和回退措施。
“该公司已经通知我们,大多数问题应该通过他们提供的修复程序来解决,但是考虑到这次事件的规模和性质,可能需要一些时间来解决。各级政府密切参与,重点是汇集受影响的各方,并确保政府尽快制定解决办法。如有需要,我们会发出进一步的更新。”受影响较大的澳大利亚内政部长克莱尔·奥尼尔发布声明称。
