В мире сбоит Windows: обновление CrowdStrike "положило" 8,5 млн устройств

Сбой произошел после обновления Enterprise-решения CrowdStrike Falcon Sensor. На рабочих станциях с операционной системой (ОС) Windows появился "синий экран смерти", и они ушли в вечную перезагрузку.

Представители компании CrowdStrike взяли на себя ответственность за инцидент и в официальном заявлении на медиаплатформе X (бывший Twitter, внесен в реестр сайтов, содержащих информацию, распространение которой в Российской Федерации запрещено, и заблокирован в РФ) рассказали, что откатили назад обновление, ставшее причиной проблем, и отдельно отметили, что речи о возможной кибератаке не идет.

Представители корпорации Windows сообщили, что от глобального сбоя (западные журналисты используют слово "оutage") пострадали больше 8,5 млн терминалов и компьютеров. Сбой нарушил работу трех главных американских авиакомпаний - American Airlines, United Airlines и Delta, аэропортов Австралии, Германии, Индии и ОАЭ, больниц в Израиле, Великобритании и Германии, Лондонской фондовой биржи, банков ЮАР и многих других компаний, предприятий, служб и ведомств по всему миру.

Что произошло

Технический директор ООО "Русием" (RuSIEM) Валерий Купрюшин рассказал, что причина может быть связана с некорректным обновлением системы.

С Валерием Купрюшиным согласен руководитель управления эксплуатации инфраструктуры и сервисов ООО "Обит" Кирилл Тимофеев. По его словам, одна программа может вызвать сбой другой из-за того, что они взаимодействуют с одними и теми же частями операционной системы или ресурсами компьютера. По его мнению, обновление могло содержать ошибки (баги), или изменить файлы и настройки ОС, от которых зависела работа программ, или просто быть несовместимым с операционной системой.

"Антивирусное программное обеспечение, из-за которого произошел сбой, глубоко интегрировано в операционную систему, что увеличивает риски сбоя при загрузке нетестированного обновления в разы", - сказал Кирилл Тимофеев.

Директор по стратегии и развитию технологий АО "Беллсофт" (Axiom JDK), руководитель ИБ-комитета АРПП "Отечественный софт" Роман Карпов обратил внимание, что Windows может автоматически получать обновления и масштабы сбоя столь велики, потому что пострадавшие устройства были настроены на автоматическую установку обновлений.

По мнению независимого эксперта по рынкам ИТ и телеком Вадима Плесского, не последнюю роль в сбое сыграла политика самой компании Microsoft. Он обратил внимание, что ОС Windows - это старая операционная система, к которой все время добавлялся новый функционал, зачастую ненужный пользователю, и от которого было очень сложно, а иногда и невозможно отказаться. "Как, например, в случае с механизмом защиты. На все это наложилось отсутствие механизма обратной связи между пользователем и разработчиком. "Получилось, что вместо заявленных компанией блокировок кибератак система начала блокировать определенный функционал в Windows. Что в ряде случаев приводило к перезагрузкам компьютеров и "синему экрану смерти", - рассказал Вадим Плесский.

Не последнюю роль в масштабах сбоя, по мнению руководителя направления информационной безопасности АО "Инфозащита" (iTPROTECT) Кая Михайлова, сыграла и популярность ОС Windows, которая используется в терминалах и персональных компьютерах по всему миру.

Заместитель директора по продуктовому развитию ООО "Солар секьюрити" (ГК "Солар") Артем Избаенков отметил, что причины появления ошибки потребуют серьезного расследования. По его мнению, нельзя исключать человеческий фактор и возможность неполадок в QA-тестировании обновления. Злой умысел со стороны третьих лиц (например, хакера-инсайдера или комплексной кибератаки на поставщиков услуг) тоже не стоит сбрасывать со счетов.

"В современном мире зависимость от облачных сервисов и платформ, таких как Microsoft Azure, через которую обновление распространилось по планете, велика. Комплексные атаки на такие сервисы могут вызвать цепную реакцию сбоев. Это может быть намеренная атака на инфраструктуру или эксплуатация уязвимостей в программном обеспечении партнеров и поставщиков", - отметил Артем Избаенков.

Проблема не нова

По мнению руководителя направления инфраструктурного ООО "АТ груп" (пентест Angara Security) Романа Просветова, подобные сбои - не редкость, так как любые обновления ОС и ПО несут в себе изменения, которые могут вызвать сбои в работе.

"Обновления важны, и их надо устанавливать. Но устанавливать их сразу же после выхода и без тестирования на рабочие станции пользователей - далеко не самая хорошая идея", - отметил Роман Просветов.

По словам директора по информационным технологиям ООО "Эджцентр" (EdgeЦентр) Сергея Липова, проблемы, связанные с несовместимостью программного обеспечения, ошибками в коде или неучтенными сценариями использования, выявляются во время тестирования. И тогда может выясниться, что программа не работает должным образом на определенной конфигурации оборудования или в сочетании с другим софтом.

"Важно иметь процессы для быстрого обнаружения и исправления таких проблем до выпуска продукта на рынок. Это может включать тщательное тестирование на различных платформах, привлечение бета-тестеров и использование автоматизированных инструментов для проверки кода", - рассказал Сергей Липов.

По мнению Романа Просветова, перед развертыванием обновления необходимо его протестировать на системах и "железе", максимально приближенных к тем, на которых оно будет использоваться.

С Сергеем Липовым согласен Кай Михайлов. По его словам, проблемы совместимости встречаются часто, так как у разработчиков того или иного продукта нет возможности самостоятельно проверить все возможные конфигурации и варианты применения ПО.

"Наиболее сложные проблемы с совместимостью фиксируются в закрытых промышленных сетях, так как в них используются специфические протоколы и зачастую устаревшее прикладное ПО", - отметил Кай Михайлов.

"Определенно, в этой ситуации вина лежит на вендоре, который не провел должного тестирования, но интересно, что делали айтишники на местах? Почему не протестировали обновления в тестовом контуре? Почему обновления от вендора применяются сразу в продуктивную среду и без проверки? Ведь ситуация с некорректно работающим ПО или обновлением не нова, и такая очевидная истина в виде тестирования могла бы предотвратить массовость проблемы", - удивился директор по информационным технологиям АО "Юникон" Владимир Здоровило.

По словам Кирилла Тимофеева, возможности быстро решить проблемы, вызванные сбоем, нет, так как компаниям придется вручную восстанавливать десятки тысяч различных устройств.

"С учетом долгого процесса установки Windows и системных приложений под нее (процесс может занять два-три часа), потребуется огромное число человеко-часов для восстановления всех систем, подвергшихся сбою. Таким образом, быстро решить проблему не получится", - добавил Вадим Плесский.

"Никогда такого не было", или "И вот опять"

"CrowdStrike - компания, специализирующаяся на кибербезопасности, которая предлагает облачные решения для защиты конечных точек, а также услуги по киберразведке и реагированию на инциденты, - рассказал Сергей Липов. - Она предоставляет клиентам инструменты для мониторинга и защиты систем от кибератак, используя передовые технологии искусственного интеллекта и машинного обучения."

Владимир Здоровило напомнил, что CrowdStrike "прославилась" борьбой с "российскими хакерами-шпионами".

По словам руководителя управления исследования угроз АО "Лаборатория Касперского" Александра Лискина, количество пострадавших компаний может исчисляться сотнями, и сбой таких масштабов происходит впервые в мировой истории.

Однако Роман Карпов обратил внимание, что проблемы, вызванные ошибками или уязвимостями в ПО, происходят постоянно. Он сравнил сбой в работе Windows с хакерской атакой 2017 г., когда вирус-вымогатель WannaCry поразил компьютеры по всему миру, эксплуатируя уязвимость в Windows, известную как EternalBlue. Это привело к заражению более 200 тыс. компьютеров в более чем 150 странах, включая объекты критически важной инфраструктуры, такие как больницы, банки и правительственные учреждения.

Член совета директоров ООО "НТЦ ИТ Роса" ("Рутек") Сергей Кравцов сравнил произошедшее с массовым заражением компьютеров вирусом Petya в 2017 г. Тогда от действий злоумышленников пострадали Сбербанк, "Роснефть" и другие компании в России и мире.

"С тех пор многие сделали выводы и благодаря программе импортозамещения стали переходить на отечественные ОС. Быть заложниками западных вендоров - серьезный экономический риск", - отметил Сергей Кравцов.

Кирилл Тимофеев обратил внимание, что в ИТ-отрасли никто не застрахован от подобного исхода. Все зависит от того, насколько качественно тестируются обновления и проверяется совместимость ПО перед релизами.

"Курс на импортозамещение помог нам обойти эту ситуацию, но при сумасшедших темпах развития отечественного ПО, вероятность чего-то подобного далека от нуля", - добавил Кирилл Тимофеев.

Импортозамещение помогло

Представитель пресс-службы Министерства цифрового развития, связи и массовых коммуникаций рассказал, что сообщений о сбоях систем в российских аэропортах не поступало (авиакомпании и аэропорты - самые заметные из пострадавших компаний).

"Ситуация с "Майкрософт" в очередной раз показывает значимость импортозамещения иностранного ПО - в первую очередь на объектах критической информационной инфраструктуры", - отметил представитель пресс-службы Минцифры.

"Сбой в работе Windows практически не сказался на российских компаниях, так как этот продукт CrowdStrike не сильно распространен на российском рынке. Его нишу занимают отечественные решения - от "Лаборатория Касперского" или Dr. WEB", - заключил Кирилл Тимофеев.