Причини. Як і повідомлялося раніше, збій стався через оновлення програмного забезпечення компанією CrowdStrike, яка займається кіберзахистом. У Microsoft кажуть, що хоча такі оновлення можуть іноді викликати збої, такі масштабні трапляються нечасто.

Пишуть, що інцидент показав взаємопов’язаність великої екосистеми: глобальних хмарних провайдерів, програмних платформ, постачальників систем безпеки та клієнтів.

«Це також нагадування про те, наскільки важливо для всіх нас, учасників технологічної екосистеми, надавати пріоритет безпечному розгортанню та відновленню після збоїв за допомогою наявних механізмів», — йдеться в повідомлені.

Що зробили для покращення ситуації:

1. Microsoft і CrowdStrike працювали над розробкою рішення. Інструкції про виправлення ситуації розмістили в Центрі повідомлень Windows;
2. Залучили сотні інженерів та експертів Microsoft для роботи з клієнтами;
3. Співпрацювали з іншими хмарними провайдерами та зацікавленими сторонами, включаючи Google Cloud Platform і Amazon Web Services, для обміну інформацією про стан впливу;
4. Проінформували клієнтів про стан інциденту на Azure Status Dashboard.

Що кажуть у CrowdStrike

СЕО CrowdStrike Джордж Курц перепросив за збій в опублікованій заяві на сайті компанії.

«Причиною відключення став дефект, виявлений в оновленні вмісту Falcon для комп’ютерів із Windows. На комп’ютери з ОС Mac і Linux це не вплинуло. Це не була кібератака», — написав він.

Пізніше CrowdStrike детальніше розписали причини збою. 19 липня компанія випустила оновлення конфігурації датчиків для систем Windows — це постійна частина механізмів захисту платформи Falcon. Оновлення спричинило помилку, яка призвела до аварійного завершення роботи системи та появи «синього екрана». У той же день проблему виправили.

Збій міг вплинути на користувачів з Falcon sensor для Windows версії 7.11 і вище, які були онлайн у п’ятницю в період оновлення.

«Оновлення, яке відбулося о 04:09 UTC, було спрямоване на нещодавно виявлені зловмисні іменовані канали, що використовуються поширеними фреймворками C2 в кібератаках», — йдеться в повідомленні.

CrowdStrike обіцяє оновлювати результати аналізу першопричини в міру просування розслідування.

Нагадаємо, 19 липня стався масштабний збій у роботі Windows, який вивів з ладу системи аварійних служб, аеропортів, банків та інших установ по всьому світу. Він також зачепив роботу деяких українських компаній: «Нової пошти», Sense Bank і Vodafone тощо.