Minulý týždeň v piatok došlo k nečakanému globálnemu výpadku IT služieb. Postihnuté boli milióny počítačov po celom svete, pričom za obeť padli najmä letecké spoločnosti. V tom čase sme sa dozvedeli, že výpadok bol spôsobený chybnou aktualizáciou antivírusového softvéru spoločnosti CrowdStrike. Po novom vyplávali na povrch ďalšie dôležité podrobnosti. Upozornil na ne server DSL.sk.
Postupný vývoj situácie ste mohli podrobne sledovať v priebežne aktualizovanom článku na našom webe. Neskôr sme vás informovali, že mnohé firmy sa z výpadku spamätávali celý víkend. Napríklad aerolinka Delta Air Lines musela ešte v sobotu zrušiť až 800 letov, pričom početné problémy hlásila aj United Airlines, ktorá zrušila necelých 400 letov.
Celkovo mal výpadok postihnúť až 8,5 milióna Windows počítačov, čo je podľa správy Microsoftu ekvivalent menej ako jedného percenta všetkých počítačov s týmto operačným systémom. Okrem aerolinky nahlásili obmedzené fungovanie aj popredná televízna sieť Sky News a niektoré nemocnice, ktoré v piatok museli zrušiť viacero naplánovaných operácií.
Čo presne sa stalo?
Dnes sa na verejnosť dostali ďalšie dôležité detaily týkajúce sa výpadku. Dozvedeli sme sa, že zmienená chybná aktualizácia bola sprístupnená v piatok o 6:09 ráno SELČ, teda nášho času. Konkrétne išlo o aktualizáciu konfiguračného súboru CrowdStrike Falcon s označením 291.
Aktualizácia mala definovať nový bezpečnostný rámec a reagovať na nový spôsob zneužívania tzv. pomenovaných pipes (Named Pipes) v rámci systému Windows pri niektorých typoch útokov. Namiesto toho ale spôsobila nečakanú logickú chybu, ktorá viedla k zobrazovaniu chyby BSoD, čiže modrej obrazovky smrti. Chyba sa zobrazovala opakovane, v dôsledku čoho sa postihnuté počítače nedokázali správne spustiť.
Spoločnosť CrowdStrike uviedla, že aktualizácia neobsahovala žiadny spustiteľný kód, ale len dáta pre už nainštalovaný kód. Obsahovala však problematické dáta, ktoré ochranný systém s názvom Content Validator nedokázal zachytiť, a tak sa tieto dáta dopracovali do stabilnej verzie aktualizácie. Ich presnú identitu však spoločnosť neprezradila.
Oprava bola rýchla
Vieme ale, že oprava chyby bola pomerne rýchla. Odstránená mala byť už o 7:27 SELČ, čiže necelú hodinu a pol od vydania aktualizácie. Za ten čas však bola stiahnutá a nainštalovaná do miliónov Windows počítačov. Aj takto krátky čas stačil na to, aby boli vyradené z prevádzky letecké spoločnosti, televízne siete, nemocnice a ďalšie dôležité organizácie.
Riešenie situácie skomplikovala skutočnosť, že oprava sa nedala realizovať hromadne a naraz. Počítače s problémovou aktualizáciou sa odmietali nabootovať, a teda muselo byť riešenie aplikované individuálne pri každom jednom postihnutom zariadení. Jednoduchšie sa problém riešil v prípade tzv. virtuálnych počítačov v rozličných cloudových službách.
Možno očakávať, že celý incident ešte len bude mať svoju dohru. Georga Kurtza, šéfa CrowdStrike, si tento týždeň v pondelok (22. júla) predvolal na koberček výbor pre domácu bezpečnosť, ktorý funguje pod záštitou Snemovne reprezentantov Spojených štátov amerických. Účelom predvolania bolo dôkladnejšie objasnenie výpadku a jeho príčin.
