“微軟藍屏”背後：一次防毒軟體更新引發的全球當機

新京報

2024-07-19 23:03釋出于北京新京報官方賬号

日本東京時間2024年7月19日13時30分左右開始，日本地區運作微軟視窗（Windows）作業系統的電腦陸續開始出現通路異常問題。據美國微軟日本子公司确認，安裝了美國網絡安全企業“群集打擊”（CrowdStrike）軟體的計算機上出現了該問題。

7月19日，微軟藍屏登上熱搜。多位使用者在社交平台分享的圖檔内容顯示，公司的電腦出現藍屏，提示“裝置遇到問題，需要重新開機。”于是在周五的下午，不少使用者“提前下班”。

這是一次全球性的IT系統故障。多個國家和地區的航班系統、銀行系統和超市系統等受到影響而“癱瘓”。中國香港的機場系統也受到波及。當日微軟官方釋出公告稱，正在調查影響使用者通路各種 Microsoft 365 應用和服務的問題。

随後，藍屏問題被确認與網絡安全公司CrowdStrike的軟體更新有關，其導緻中國、紐西蘭、澳洲、日本、印度等地的Windows均出現了藍屏現象。CrowdStrike目前正在全球範圍内撤銷該更新。截至發稿前，網絡安全公司CrowdStrike美股盤前大跌超18%，微軟跌超2%。

業内網絡安全人士向貝殼财經記者分析稱，此次藍屏故障大機率是因為防毒軟體内的錯誤程式造成了Windows系統的程式錯誤，進而觸發了Windows系統的自我保護機制。雖然問題出現後該公司積極補救，但還是對全球廣大使用者造成了很大損失。在雲計算時代，業務系統穩定性面臨的挑戰将比以往更加嚴峻，企業迫切需要加強自身安全意識，合理應對技術故障，提前做好緊急事故預案，并重新評估其業務穩定保障、災難恢複計劃以及技術依賴的風險。

7月19日微軟釋出聲明稱，今天早些時候，CrowdStrike 的一次更新導緻多個 IT 系統出現故障。我們正在積極幫助客戶，協助恢複服務。

系統故障影響多國航班

中國香港機場無法自助登機

當地時間2024年7月19日，新加坡，微軟公司旗下部分應用和服務出現通路延遲、功能不全或無法通路問題。因大範圍系統技術故障，乘客在新加坡樟宜機場等待人工辦理登機手續。

7月19日，微軟公司旗下部分應用和服務出現通路延遲、功能不全或無法通路問題，進而出現全球範圍内的IT系統故障。據央視新聞消息，西日本旅客鐵道公司（JR西日本）列車行駛位置資訊因Windows系統故障導緻無法擷取，澳洲航空公司、銀行、政府網絡、企業、超市自動收銀機等也受到影響。

當地時間2024年7月19日，美國加利福尼亞州舊金山 ，由于微軟公司旗下部分應用和服務出現通路延遲、功能不全或無法通路問題，舊金山國際機場航班取消。

美國聯邦航空管理局稱，由于通訊問題，包括達美航空、聯合航空和美國航空在内的多家美國主要航空公司的所有航班于當地時間19日上午停飛。新加坡樟宜機場則表示，由于受到微軟系統故障影響，一些航空公司在樟宜機場的登機手續将由人工方式辦理。此外，飛常準資料顯示，包括印度、英國、德國、西班牙等地機場的航班也受到了影響。

中國香港機場也受上述故障影響未能自助登機。當日，香港機場管理局（機管局）表示，因微軟系統故障，應用該系統的相關航空公司服務受影響，須改用人工辦理登機手續。香港機場管理局表示，航班運作暫時未受影響，已啟動緊急應變機制跟進情況，呼籲旅客預留充足時間到機場。

打開香港國泰航空網站，頁面上則彈出了“系統維修：目前無法提供航班預訂服務”的資訊，建議消費者使用“國泰航空手機應用程式”預訂機票及管理行程。國泰航空還建議在香港國際機場登機的旅客，通過國泰航空網站或應用程式線上辦理值機手續，并且擷取電子登機牌。對于有托運作李的旅客，建議在航班出發前至少三小時抵達機場，以便有足夠的時間辦理值機手續。

7月19日下午，國泰航空一位從業人員對貝殼财經記者稱，由于IT系統出現問題正在維修，網站預訂機票、兌換航班以及航班資訊查詢服務等暫時不能使用，需要等系統維修恢複正常。

不過，截至目前，新京報貝殼财經記者采訪獲悉，吉祥航空、春秋航空、祥鵬航空、中聯航等航空公司均表示并未受到影響。海航航空集團表示，目前核實到的資訊顯示，旗下航司境内航班均未受到影響。另外飛常準App顯示，北京首都國際機場、北京大興國際機場、上海浦東國際機場、廣州白雲國際機場都營運正常。

非網絡攻擊造成的安全事件

“業務穩定不僅是技術問題”

對于此次微軟系統出現大規模故障問題的原因，中原標準時間7月19日晚間，微軟釋出聲明稱，今天早些時候，CrowdStrike 的一次更新導緻多個 IT 系統出現故障。我們正在積極幫助客戶，協助恢複服務。

在接到大量使用者回報後，CrowdStrike也釋出聲明表示，已經知曉此問題并在進行中，在Reddit論壇中，該公司工程師稱正在撤銷CrowdStrike的一項可能導緻藍屏當機的更改。

公開資料顯示，CrowdStrike是位于美國加利福尼亞州森尼韋爾的一家網絡安全公司，提供端點安全、情報威脅和網絡攻擊的安全服務，其于2019年在納斯達克交易所上市。PC廠商戴爾在官網中介紹其稱：CrowdStrike 利用進階端點檢測和響應（EDR）應用程式和技術，提供業界卓越的下一代防病毒（NGAV）産品，該産品由機器學習提供支援，可確定在入侵發生之前将其阻止。

在工作原理方面，CrowdStrike是一種基于代理程式的傳感器，可以安裝在Windows、Mac或Linux作業系統上，适用于桌上型電腦或伺服器平台。這些平台依賴雲托管SaaS解決方案來管理政策、控制報告資料、管理和應對威脅。CrowdStrike 可以離線或聯機工作，在檔案試圖在端點上運作時對檔案進行分析。

7月19日下午，CrowdStrike首席執行官George Kurtz在X平台發文稱，公司正在積極與受“單個Windows主機内容更新缺陷”影響的客戶溝通工作。Mac和Linux主機不受影響。“這不是安全事件或網絡攻擊。問題已被識别、隔離并修複。”

e安行項目負責人丁曉對貝殼财經記者分析稱，電腦藍屏是微軟的Windows系列作業系統在無法從一個系統錯誤中恢複過來時，為保護電腦資料檔案不被破壞而強制顯示的螢幕圖像。“此次藍屏故障大機率是因為防毒軟體内的錯誤程式造成了Windows系統的程式問題，進而觸發了Windows系統的自我保護機制，至于問題點，需要CrowdStrike仔細研究，且因為此事件已對大量使用者造成了實質損失，CrowdStrike應該将最終的問題原因公開披露。”

民間網際網路安全組織網絡尖刀創始人曲子龍則向記者提供了遇到相關問題時，使用者可以嘗試的解決方案：“開機時一直按F8，進入安全模式，将 C:\Windows\system32\drivers\crowdstrike 檔案夾重命名，然後重新開機就可以暫時解決。搞不定的用U盤引導進PE系統（一個小型作業系統，主要用于故障排除、執行恢複操作、安裝Windows 作業系統等）操作也行。”

“對這次事件CrowdStrike官方已經澄清，原因不是由于網絡攻擊造成的安全事件，而是因為軟體自身缺陷造成。該公司的防毒軟體産品在全球範圍内應用比較廣泛，尤其是日本和美國地區。”在丁曉看來，該公司軟體版本在未經過充分檢驗和測試情況下就面向市場廣泛使用，是非常不負責任的行為，雖然問題出現後，該公司已經積極釋出補救措施，但還是對全球廣大使用者造成了很大損失。“我們國家的資訊化企業應該總結這個事件經驗，積極做好自身開發的應用軟體的測試工作，保障軟體具有較好的可靠性，避免給使用者帶來不必要的損失，也避免對公司自身帶來名譽及經濟損失。”

奇安信網絡安全事件響應專家、威脅情報中心負責人汪列軍則對記者表示，此次事件提醒業界和廣大使用者，即使是非常成熟的技術平台也可能遭遇意外故障。業務穩定和網絡安全不僅是技術問題，更是管理和戰略問題，需全面綜合考慮各種因素。比如，涉及系統穩定性的軟體廠商需要對自己的軟體有更嚴格的品質管理，否則這種意外故障導緻的業務連續性問題比惡意網絡攻擊還要大。此外，需要做好産品更新政策，確定灰階更新，控制放量節奏。出現事故時，平台和安全廠商需要積極主動給客戶相應的解決方案，并積極與公衆溝通，避免因為資訊差等導緻恐慌。

汪列軍還提醒稱，在雲計算時代，業務系統穩定性面臨的挑戰将比以往更加嚴峻，企業迫切需要加強自身安全意識，合理應對技術故障，提前做好緊急事故預案，并重新評估其業務穩定保障、災難恢複計劃以及技術依賴的風險。例如，對業務有高穩定性要求的使用者，可采用多供應商互為備份，以避免出現供應商單點故障，還可進行故障應急演習，對此類場景有應對預案和回退措施。

“該公司已經通知我們，大多數問題應該通過他們提供的修複程式來解決，但是考慮到這次事件的規模和性質，可能需要一些時間來解決。各級政府密切參與，重點是彙集受影響的各方，并確定政府盡快制定解決辦法。如有需要，我們會發出進一步的更新。”受影響較大的澳洲内政部長克萊爾·奧尼爾釋出聲明稱。

新京報貝殼财經記者孫文軒 羅亦丹  王真真

編輯 嶽彩周

校對 付春愔

檢視原圖 4.11M

• 

• 

•