CrowdStrike的影响：全球IT中断如何摧毁世界科技

2024年7月19日windows蓝屏事件

一、前言

​ CrowdStrike 遭遇了全球 IT 中断，凸显了互联全球供应链的脆弱性。根据 Interos 的数据，此次中断影响了 CrowdStrike 和 Microsoft 的 674,620 个直接客户关系，并间接影响了超过 4900 万客户关系。虽然美国是受影响最严重的国家，受影响实体占 41%，但欧洲和亚洲的主要港口和航空货运枢纽也受到了影响。从纽约到洛杉矶和鹿特丹的港口都报告了临时关闭，而航空货运受到的打击最为严重，数千架航班停飞或延误。在全球需求和货运价格不断上涨的背景下，此次中断加剧了现有的供应链挑战，凸显了对全球贸易和金融的潜在长期影响。

二、CrowdStrike公司介绍

​ CrowdStrike Holdings, Inc. 是一家全球网络安全公司，提供云端端点、云工作负载、身份和数据保护。该公司的 Falcon 平台专为网络安全整合而设计，旨在阻止违规行为。该平台收集并整合整个企业的数据，包括端点、云工作负载、身份和第三方来源。该公司的 Falcon 平台利用单一轻量级代理架构，集成了涵盖多个安全市场的云模块，包括企业工作负载安全、托管安全服务、安全和漏洞管理、信息技术 (IT) 运营管理、威胁情报服务、身份保护和日志管理。该公司通过软件即服务 (SaaS) 订阅模式在其 Falcon 平台上提供 27 个云模块，涵盖多个大型市场，包括企业端点和云工作负载安全等。

二、原因（CrowdStrike官网公布）

​ CrowdStrike 已将此问题的触发器确定为与 Windows 传感器相关的内容部署，我们已还原这些更改。内容是位于%WINDIR%\System32\drivers\CrowdStrike 目录中的频道文件。

​ 时间戳为 2024-07-19 0527 UTC 或更高版本的频道文件“C-00000291*.sys”是还原（良好）版本。

​ 时间戳为 2024-07-19 0409 UTC 的频道文件“C-00000291*.sys”是有问题的版本。

​ 注意：CrowdStrike 目录中存在多个“C-00000291*.sys 文件是正常的——只要文件夹中的某个文件的时间戳为 05：27 UTC 或更高，那就是活动内容。

​ 症状包括主机遇到与 Falcon 传感器相关的错误检查\蓝屏错误。

​ 未受影响的 Windows 主机不需要任何操作，因为有问题的通道文件已还原。

三、解决方案（临时）

一）官方回复

​ 官方给出的解决方案：Falcon 内容更新修复和指导中心 |人群罢工 (crowdstrike.com)

​ 细粒度状态仪表板用于识别受内容问题影响的 Windows 主机 (v8.6)

二）本地服务器

1.办法一

​ 导航到%WINDIR%\System32\drivers\CrowdStrike目录

​ 找到与C-00000291*.sys匹配的文件，并将其删除。

​ 正常引导主机。

2.办法二

​ 启动到安全模式，进入注册表并编辑以下项：

​ HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\从1到4开始

​ 这将禁用csagent.sys加载。

3.方法三

​ 重启，按 F8

​ 选择带网络连接的安全模式

​ 重启（或者自动重启）

​ 在 CMD 中输入以下内容

cd :\Windows\System32\Drivers\
rename Crowdstrike Crrowdstrike_Fucked
reboot

4.方法四（批量）

​ 网络 （PXE） 部署来修复此问题，只需单击一下（无需凭据、手动步骤等）

​ 使用软件：Easy Recovery Essentials：可启动的 Windows 修复和恢复 USB 或 CD (neosmart.net)

三）云服务器

​ 亚马逊：恢复受 CrowdStrike Falcon 代理影响的 AWS 资源 |AWS re：Post (repost.aws)

四、CrowdStrike 和 Microsoft 的回复

一）CrowdStrike 和微软高管的声明

​ CrowdStrike 的首席执行官对此次中断表示道歉，并保证他们已经发现并解决了问题，重点是恢复客户系统。微软派出专家与受影响的客户合作，并与其他云提供商合作以减轻影响。

二）解决问题所采取的技术措施

​ CrowdStrike 确定了有问题的更新并恢复了更改以稳定系统。Microsoft 提供了手动修复文档和脚本，并更新了 Azure 状态仪表板以让客户随时了解情况。两家公司都调动了全部资源来快速解决问题。

三）客户沟通和支持工作

​ CrowdStrike 使用其支持门户和官方渠道向客户更新信息并推荐具体的补救措施。Microsoft 通过官方平台分享更新和解决方案，以确保广泛了解并迅速解决问题。CrowdStrike 还在其博客和支持门户上提供了指南，以提供进一步的帮助。

五、影响

一）股市

​ 7 月 22 日（路透社）——CrowdStrike（CRWD.O）股价周一暴跌 13%，延续了连续亏损的势头，此前华尔街分析师因担心上周全球网络中断造成的财务影响而下调了该股评级。

​ CrowdStrike 的安全软件更新出现故障，导致搭载微软 Windows 操作系统的计算机崩溃，扰乱了全球互联网服务，并影响了包括航空、银行和医疗保健在内的广泛行业。

二）受影响行业（航空、医疗保健、金融服务）

​ 航空业受到的打击尤其严重，全球有超过 4,295 个航班被取消，导致机场一片混乱。麻省总医院布莱根分院和埃默里医疗中心等医疗系统不得不推迟服务并恢复到人工系统。金融服务也受到影响，全球银行的支付系统和客户访问都出现中断。

​ 另据媒体报道，中国国航、东航、南航等三大航司均表示航班未受微软故障影响，北京首都机场和大兴机场出发的国际航班也运行正常。

三）停电的地理分布

​ 这不仅仅是一个地方问题，它影响了美国、加拿大、英国、欧洲和亚洲的服务。美国主要城市的医疗保健和公共交通出现中断，而英国国家医疗服务体系在管理患者记录和预约方面遭遇挫折。

四）对企业运营的影响

​ 全球各地的企业都面临运营障碍。亚马逊仓库员工在排班管理方面遇到困难，星巴克因移动订购问题而暂时关闭门店。联邦快递和 UPS 等大公司报告称，物流和配送受到严重影响。此次中断凸显了稳定、安全的 IT 基础设施对现代企业的重要性。

​ 国内受影响的主要应该是外企及其在中国的分支机构，相关办公电脑可能默认装载了CrowdStrike，国内党政机关、央企、大型民企等受影响较小。

六、附加

一）解除bitlocker锁

​ NS Windows 恢复屏幕（或操作系统安装盘可能会要求您输入恢复密钥，但如果您输入的是 macu，则会出现错误，例如磁盘出错，因此以防有人遇到同样的问题（此处使用的是 Win 10，但 W11 和 Server 应该相同）：

​ 1.从 Windows 安装程序磁盘启动受影响的机器

​ 2.使用“修复选项”

​ 3.单击选项以生成 shell

​ 4.现在将要求您使用恢复密钥解锁磁盘。跳过该步骤。

​ 5.在 shell 中，键入：“manage-bde -unlock C: -Password”，输入密码

​ 6.驱动器已解锁