CrowdStrike在今日(7月19日)發生EDR更新檔案與Windows系統發生衝突,導致電腦出現藍色當機(BSoD),在全球皆有造成企業營運中斷的狀況。
CrowdStrike在今日(7月19日)發生EDR更新檔案與Windows系統發生衝突,導致微軟作業系統出現藍色當機(BSoD),在全球皆有造成企業營運中斷的狀況。CrowdStrike已在官方部落格公開說明對此緊急事故採取的行動與相關資訊:https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/。
對此,數位發展部(數發部)立即發布聲明指出,微軟當機事件發生後,數發部緊急檢查政府重要關鍵資訊系統運作情形,例如戶政系統、財稅系統等政府重要關鍵資訊系統運作情形,目前僅傳出少部分機關之個人電腦零星發生當機事件,政府重要關鍵資訊系統運作正常,未受到此次當機事件影響。數發部已請各領域主管機關務必掌握自身、所屬機關及所管關鍵基礎設施等受影響情形。如有資安事件,請即時通報應處。且將持續關注事態發展,並與微軟及相關安全機構保持合作,確保數位基礎設施的穩定與安全。
有關國家關鍵基礎設施部分,目前未有嚴重事件影響關鍵基礎設施運作,數發部亦已透過分享機制通知各關鍵基礎設施各領域之中央目的事業主管機關務必掌握自身、所屬機關及所管關鍵基礎設施等受影響情形,後續將持續掌握通報事件並追蹤問題改善。
CyberArk CIO Omer Grossman亦立即發布對此事件的看法。他認為,此次事件會是2024年最重要的網路大事之一,且對全球商業運作流程的破壞影響巨大。問題是由於CrowdStrike的EDR產品軟體更新所致。這是一個以高特權運行並保護端點的產品。正如目前情況,這問題會造成作業系統崩潰。
他進一步說明,這次事件有兩個主要的問題點,首先是客戶如何恢復連線並恢復商務運作的連續性。由於端點已經崩潰(BSoD),IT人員無法遠端更新,必須逐一在端點裝置手動解決問題,預計這個過程將需要數天時間。其次,是什麼導致了這次故障?可能的原因範圍從人為錯誤(例如開發人員在缺乏足夠品質控制的情況下下載了更新)到一個複雜且有趣的深度網路攻擊場景,攻擊者提前準備並啟動了一個“末日指令”( "doomsday command")或“殺戮開關”( “kill switch”)。CrowdStrike未來幾天的分析和更新將將備受關注。