Microsoft опубликовала обновлённую информацию, касающуюся масштабного сбоя Windows-систем из-за защитного ПО CrowdStrike Falcon, и сообщила о мерах, которые были приняты для устранения последствий. Ошибка произошла из-за некорректного апдейта сведений об атаках, который приводит к краху драйвера и BSOD. Microsoft подчеркнула, что не имеет отношения к этой ошибке, но постаралась помочь клиентам и заказчикам справиться с ней.

Компанией была поставлена задача — предоставить клиентам техническое руководство и поддержку для безопасного возобновления работы вышедших из строя систем. Принятые меры включали:

• Взаимодействие с CrowdStrike в разработке решения по исправлению ситуации. Инструкции были размещены в Центре сообщений Windows.
• Отправка сотен инженеров и экспертов Microsoft на непосредственную работу с клиентами над восстановлением сервисов.
• Сотрудничество с другими облачными провайдерами и иными заинтересованными сторонами, включая Google Cloud Platform (GCP) и Amazon Web Services (AWS), позволившее оперативно делиться информацией о состоянии дел и взаимодействию с CrowdStrike и клиентами.
• Оперативную публикацию документации по ручному и автоматизированному исправлению проблемы.
• Информирование клиентов о текущем статусе инцидента с помощью панели Azure Status Dashboard.

Работа ведётся круглосуточно с постоянным предоставлением обновлений и поддержки, сообщила компания. Кроме того, CrowdStrike помогла Microsoft разработать масштабируемое решение, которое позволит пользователям Microsoft Azure ускорить исправление проблемы. Также Microsoft работала с AWS и GCP над созданием наиболее эффективных подходов к устранению сбоя.

Источник изображения: CrowdStrike

Как отметила Microsoft, обновления ПО могут иногда вызывать сбои, но такие серьёзные инциденты, как нынешний сбой из-за обновления CrowdStrike, случаются редко. По оценкам Microsoft, фатальное обновление CrowdStrike затронуло 8,5 млн Windows-устройств или менее 1 % всех компьютеров под управлением Windows. Хотя инцидент затронул небольшой процент компьютерных систем, его широкие экономические и социальные последствия отражают широту использования CrowdStrike предприятиями, которые предоставляют множество критически важных услуг, отметила Microsoft.

Этот инцидент также демонстрирует взаимосвязанный характер обширной экосистемы компании — глобальных поставщиков облачных услуг, программных платформ, поставщиков средств безопасности и других поставщиков ПО, а также клиентов. «Это также напоминание о том, насколько важно для всех нас в технологической экосистеме уделять первоочередное внимание безопасному развёртыванию и аварийному восстановлению с использованием существующих механизмов», — подчеркнула Microsoft.

Некоторые апдейты от самой Microsoft тоже неоднократно вызывали сбои Windows вплоть до BSOD, равно как и обновления других продуктов, работающих на уровне ядра ОС, включая практически все антивирусы. Весеннее обновление CrowdStrike Falcon в некоторых случаях также приводило к краху ядра Linux. Кроме того, в Сети напомнили, что основатель CrowdStrike был техническим директором McAfee и именно при нём обновление баз антивируса привело к массовому отказу Windows XP SP3 в апреле 2010 года. Инцидент существенно повлиял на финансовое здоровье компании и, как предполагается, именно из-за него McAfee продала свой бизнес Intel.

Обновление: Microsoft выпустила решение Microsoft Recovery Tool для создания загрузочного USB-накопителя, который поможет ИТ-администраторам ускорить процесс восстановления пострадавших ОС Windows.

Масштабный сбой в облаке Microsoft Azure, наложившийся на неудачное обновление защитного ПО компании CrowdStrike для ПК на Windows привели к нарушениям работы критически важной инфраструктуры по всему миру. По данным Datacenter Dynamics, в результате пришлось прекратить полёты некоторым авиалиниям, остановить работу банков, больниц, магазинов и других критически важных организаций и сервисов. В Сети в шутку предложили назначить 19 июля Международным днём Синего экрана смерти Windows. Эксперты уже назвали данное событие крупнейшим IT-сбоем за всю историю.

В Microsoft объявили, что облачный регион Central US спустя пять часов после сбоя вернулся к работе, хотя клиентам облака на восстановление работоспособности может понадобиться больше времени. Компания CrowdStrike, занимающаяся обеспечением кибербезопасности, также подтвердила, что выпущенное её обновление вызывало появление «экранов смерти» на компьютерах или бесконечной перезагрузке, а совпадение по времени двух не связанных с собой сбоев привело к тому, что клиентам теперь трудно определить, какая именно из причин вызвала неполадки в их инфраструктуре. Возможно, в некоторых случаях оказали влияние оба фактора.

Источник изображения: Vitaly Gariev/unsplash.com

Сбои привели к тому, что авиакомпании приостановили полёты, частично прекратили функционировать аэропорты, железные дороги, банковские приложения и даже сервис Xbox Live прекратил работу на несколько часов. Пострадали и некоторые телеком-операторы и СМИ. Проблемы коснулись жителей США, Великобритании и Австралии, а также других стран, от Европы до Индии и Японии.

CrowdStrike «откатила» дефектное обновление ПО Falcon Sensor, включавшее некорректный драйвер. В качестве временной меры предлагается удалить файлы вида C-00000291*.sys в директории C:WindowsSystem32driversCrowdStrike, загрузив Windows в безопасном режиме или режиме восстановления. Для облачных инстансов предлагается сделать то же самое, отмонтировав тома и сняв резервную копию. При наличии BitLocker понадобится ключ для дешифровки данных. Причём это не первая массовая проблема с ПО компании за последний месяц — более ранний апдейт приводил к 100 % загрузке одного из ядер CPU.

Источник изображения: Microsoft Azure

Акции компании в преддверии сегодняшних торгов в США уже упали на 19 %. Аналитики полагают, что CrowdStrike в её нынешнем виде, возможно, перестанет существовать. По некоторым оценкам, поражено до 15 % корпоративных Windows-систем. Ситуация осложняется тем, что при отсутствии OOB придётся вручную исправлять проблему на каждом ПК. По неподтверждённым данным, в некоторых случаях помогает многократная последовательная перезагрузка ПК (до 15 раз подряд).

Microsoft в свою очередь пояснила, что автоматизированный процесс управления внёс изменения в конфигурацию серверов, в результате чего была заблокирована связь между некоторыми хранилищами данных и вычислительными ресурсами в регионе US Central. Это привело к тому, что инстансы потеряли связь с виртуальными дисками, уходя в циклическую перезагрузку. Большинство сервисов сейчас восстановлено, но некоторые ещё испытывают «остаточное воздействие», клиенты получат поддержку на профильном портале Azure. В частности, проблемы всё ещё могут быть у пользователей и администраторов Microsoft 365.

Российские компании, занимающиеся разработкой ПО, активно внедряют схему распространения универсальных лицензий, охватывающих версии ПО как для Windows, так и для Linux. Как сообщает «Коммерсантъ», подобная практика уже распространена среди международных IT-компаний, а в России она стала популярной из-за импортозамещения и законодательных требований.

Такой подход также позволяет обойти некоторые законодательные запреты или отсрочить их соблюдение — внедрение ПО можно начинать на зарубежных ОС и лишь потом перебираться на российские. Схема работает и в обратную сторону, когда разработчик прямо сейчас может предложить только Windows-версию своего ПО, но уже готовит Linux-вариант. Как отмечает издание, универсальные лицензии первыми представили зарубежные компании, предлагающие ПО по подписке. В некоторых случаях они доступны и для разовых покупок. Российские разработчики ПО следуют примеру зарубежных.

Источник изображения: Ga/Unsplash.com

По мнению экспертов, операторы критической инфраструктуры вроде банков, телеком-компаний, ТЭК и пр. уже с 2025 года обязаны использовать только отечественное ПО под угрозой ответственности, поэтому вряд ли они станут применять универсальные лицензии для замедления перехода с зарубежных ОС на российские. Более вероятно, что подобный подход позволит не приостанавливать закупки софта при переходе с одной ОС на другую. Те же компании, для которых нет строгого запрета закупки зарубежного ПО, будут ориентироваться, например, на время выхода необходимого продукта, а не на ОС, для которой он разработан.

В 2022-2023 гг. спрос на операционные системы Windows в российских дата-центрах отечественного хостинг-провайдера RuVDS сократился на треть по сравнению с 2020-2021 годами. Пользователи делают выбор в пользу независимых ОС семейства Linux, передаёт пресс-служба RuVDS. При этом у пользователей зарубежных мощностей RuVDS спрос на продукцию Microsoft стабилен.

В рамках импортозамещения ряд клиентов начинает рассматривать альтернативные ОС в качестве более надежных и не так сильно зависящих от экономической и политической конъюнктуры. Компания располагает своим дата-центром уровня Tier 3 в Королеве, а также семью гермозонами в России (две гермозоны в Москве и по одной в Санкт-Петербурге, Казани, Екатеринбурге, Новосибирске и Владивостоке).

Источник изображения: RuVDS

Выручка российских разработчиков ОС по итогам 2022 года кратно выросла благодаря спросу со стороны корпоративных потребителей. На такие показатели повлияли, в том числе заказчики из государственного сектора РФ, которые в 2022 году потратили на закупку Microsoft Windows на 82 % меньше по сравнению с предыдущим годом. Теперь госзаказчики предпочитают отечественные ОС.

Спрос на российские альтернативы также продиктован тем, что продажи новых продуктов Microsoft в России приостановлены с марта 2022 года. В августе 2023 года стало известно, что после 30 сентября корпорация не станет продлевать действие лицензий, уже приобретенных российскими корпоративными клиентами. В то же время уже действующие подписки сохраняют актуальность до истечения срока их действия.