資安業者CrowdStrike傳出更新導致Windows電腦出現當機的現象。今天下午約1時開始,傳出有用戶在社群網站Reddit、X反應電腦當機的情況,並出現藍色當機(BSoD)的現象,發生原因與名為csagent.sys的系統檔案有關,而這個檔案就是EDR系統CrowdStrike Falcon的重要元件。

這樣的情況已在全球造成災情,例如:美國、印度多家航空公司營運出現影響,美國聯邦航空總署(FAA)對所有航班祭出停飛令印度機場出現手寫登機證的情形。而在國內,也出現桃園機場8家航空公司緊急採取人工劃位作業臺大醫院傳出部分系統發生短暫當機,而臺北榮總的急診、住院服務櫃臺、檢驗及配藥的部分受到影響

針對這起事故,我們也詢問CrowdStrike臺灣總經理陳琤琤,她表示未被授權發言而無法說明。

有人在社群網站Reddit指出,CrowdStrike已對用戶發出資安公告,標題是與Falcon Sensor相關的Windows當機事故,並表明他們的工程團隊著手處理此事,用戶不要再填寫新的支援工單通報。他們後續也會更新處理的情形。不過,這份資安公告並非所有人都能存取,必須為該公司用戶才能檢視。

這樣的當機事故出現後,我們也聽聞有部分IT人員透過安全模式開機,更改這套EDR系統的資料夾名稱或主程式檔案,緩解上述當機的情況。但值得留意的是,這種暫時解決措施會失去相關防護效果,最好在資安業者提供修補程式之前,應暫停使用電腦。

不過,後來有用戶在社群網站張貼CrowdStrike提出的臨時解決方法,其做法是重新開機到安全模式,存取C:\Windows\System32\drivers\CrowdStrike資料夾,將檔名為C-00000291開頭的系統檔(.SYS)全數刪除,就能在維持該EDR系統提供相關防護的情況下正常開機、進入Windows作業系統。

除了Windows電腦因CrowdStrike Falcon元件更新造成災情,微軟今天凌晨也發生服務停擺的狀況據傳也與CrowdStrike有關

而在世界協調時間(UTC)7月19日9時40分,微軟在Azure服務狀態公告頁面,證實他們的確受到CrowdStrike的影響。微軟表示,他們察覺問題出在:執行CrowdStrike Falcon代理程式的Windows與Windows Server作業系統的虛擬機器,這些系統可能遭遇系統臭蟲檢查(藍白當機畫面,BSOD)的問題,而卡在重新啟動的狀態,此問題開始出現的時間是世界協調時間7月18日19時。

  

另一個微軟公告雲端服務狀態的頁面,也提出相同說明,並增列CrowdStrike的相關公告部落格文章網址連結

CrowdStrike在這篇公告提到,Mac與Linux這兩個系統不會受到影響,並強調本次事件並非資安事故或網路攻擊。

熱門新聞

Advertisement