微软崩了!航司停运、酒店服务瘫痪,网络安全人士这样解读

7月19日,一场由安全软件Crowdstrike引发的全球安全事故仍在发酵。今日,#微软蓝屏#冲上热搜第一,大量网友晒图显示,公司电脑出现蓝屏,提示电脑遇到问题,需要重新启动。

截至记者发稿,微软并未具体报告哪些问题导致了用户蓝屏,以及影响范围。随后网络安全软件公司Crowdstrike回应公司收到大量关于Windows电脑出现蓝屏的报告,公司工程部已确定该问题与“内容部署(content deployment)”有关,目前已恢复了这些更改,并给出了解决方法。

今日美股盘前,Crowdstrike跌幅扩大至20%,微软下跌1.8%。

目前,这场微软蓝屏事件影响波及全球航空、酒店、银行、学校、公司等多个行业和个人。有消息称,此次故障影响到了诸多国际连锁酒店集团,包括万豪、凯悦、希尔顿和洲际等集团的预订,均受到了不同幅度的影响。

大量酒店使用Windows系统的电脑来管理客房预订、财务记录和客户信息等关键业务,蓝屏事件可能导致这些系统无法正常运行,并影响酒店的日常运营,致使客人在办理入住、结账等可能遇到延迟或错误。

在天津出差的赵刚(化名)告诉第一财经记者,自己今天下午14:25左右正在洲际旗下天津海河假日酒店办理入住,碰巧赶上了系统全面瘫痪,房卡也无法制作。所有流程全人工纸质处理,好在“原始”的状态下井然有序。他评价:“这次全球蓝屏,考验不少团队的管理流程和应急手段。”

另一位正在新加坡出差的互联网从业者也对第一财经记者表示,自己今日在新加坡万豪旗下酒店办理退房时,看到酒店出现了因为微软蓝屏事件而无法为客人办理入住的情况。他已在新加坡机场出票,希望能顺利登机。

还有一位业内人士告诉记者,自己的朋友在西班牙万豪酒店也遇到了因为微软蓝屏而无法办理入住的情况。

多家航空公司被迫取消航班。布拉格机场称,受大量航空公司使用的全球值机系统中断的影响,一些航班延误。美国联合航空公司则表示,第三方软件故障正在影响全球计算机系统包括本公司,所有飞机已经停飞。

美国边疆航空公司系统直接受到了微软服务中断的影响。该公司发布声明称:“在此期间,预订、办理登机手续、获取登机牌以及部分航班可能会受到影响。”

FlightAware数据显示,边疆航空公司周四累计取消147个航班,延误了212个航班。航空公司Allegiant旗下45%的航班延误,SunCountry遭遇23%的大面积航班延误。

香港机管局在声明中表示,由于微软系统出现故障,全球各地应用该系统的相关航空公司服务受到影响。香港国际机场受影响航空公司须改用手工办理登记手续。航班运作暂时未受影响,机场已启动紧急应变机制,跟进情况。

不少网友在社交媒体“X”和微博中发文透露自己的航班被波及,工作电脑被中断等情况。马斯克也在“X”上吐槽发帖“…”评论,并转发2021年时称Microsoft为Macrohard的帖子。他还回应了X平台网友发布的图片:图片中微软一片蓝屏,只有X平台正常运转,并配文“everything else is down, this app still works”(其他一切都崩了,只有X还能用)。

今天全球范围内发生的蓝屏问题被确认与CrowdStrike的软件有关。有业界分析说问题涉CrowdStrike代理(csagent.sys)导致“WIN32K_POWER_WATCHDOG_TIMEOUT”错误,从而导致系统崩溃并出现蓝屏。这一问题导致了广泛的中断,因为许多组织使用CrowdStrike的网络安全解决方案。今天在CrowdStrike Falcon的Sensor更新之后,内核驱动文件csagent.sys导致全球大面积用户的 Windows 系统出现蓝屏。

网络安全商业研究分析机构斯元创始人 Bruce Zhang在接受第一财经记者采访时表示,科技生态是融合的,但同时代表影响也是交错和蔓延的。Windows本身是受到了CrowStrike的影响。CrowStrike在美国属于头部的安全大企业,但依然也会爆发如此大规模影响的问题,某种程度上,这属于供应链引起的安全事件,对于安全建设,不仅自身要做好,也要做好供应链的安全管理。

他同时对第一财经记者表示,此次事件意味着终端是不可忽视的一个安全防护薄弱环节,无论这次的升级危机,还是频频爆发的勒索,很多都是从终端入手。而且终端影响每一个用户,造成的社会影响也往往特别大。

对于这样一起由安全软件引发的安全事故,青藤云安全COO程度在接受第一财经采访时表示,概括来讲主要是CrowdStrike的驱动程序和windows操作系统出现冲突导致的问题。背后的原因可能是因为不兼容、驱动程序之间有冲突、驱动程序可能触发内核的bug等。据业界消息,是由内存check的指令引起。

程度表示,此次事件也为业界带来重要的启示。首先安全依然是重中之重。其次,在对于安全产品技术路线的选择上,通常软件开发包括内核态和用户态,前者拥有更高的系统权限,可以直接访问硬件,但劣势在于错误的驱动可能危及整个系统的稳定性和安全性;后者如果出错通常只影响单个应用程序,不会导致系统崩溃。目前看来CrowdStrike应该是在内核态下导致的问题。如果尽量采用非内核态的形式,出现这类问题的概率会低很多。

他还提到,在进行软件更新时,全量更新也是行业大忌。业界通常的做法是灰度更新,如按照区域、行业等分步更新,以及在非工作时间、非业务高峰期更新,待稳定之后再做大规模更新。这样即使出现问题也不容易影响客户的业务连续性,更不至于影响全球范围内的客户。

 

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐