CrowdStrike Falcon 崩溃触发全球IT中断，紧急解决方案发布

CrowdStrike 的 Falcon Sensor 平台发生严重崩溃错误，导致全球范围内出现大面积 IT 中断，影响到 911 呼叫中心、航空公司、银行和主要媒体等关键服务。

在过去 24 小时内，许多用户报告称，系统突然崩溃，主要是在 Windows 主机上，并伴有臭名昭著的蓝屏死机 (BSOD) 错误。崩溃与Falcon 传感器有关，它是 CrowdStrike 端点保护套件的关键组件。

CrowdStrike 是一家领先的网络安全公司，以其基于云的安全解决方案而闻名，该公司承认了这个问题并迅速展开调查。他们的工程团队将原因追溯到最近的内容部署，并迅速恢复了更改。

紧急解决方法：

对于仍然崩溃且无法接收更新的频道文件更改的系统，CrowdStrike 发布了解决方法：

1. 将 Windows 启动到安全模式或 Windows 恢复环境

2. 导航到 C:WindowsSystem32driversCrowdStrike 目录

3. 找到匹配“C-00000291*.sys”的文件，并将其删除。

4. 正常启动主机。

对于云环境，客户可以恢复到 UTC 时间凌晨 4:09 之前拍摄的快照。

对于 AWS (Amazon Web Services)，请按照以下步骤操作：

1. 从受影响的 EC2 实例中分离 EBS 卷。

2. 将 EBS 卷附加到新的 EC2 实例。

3. 修复 CrowdStrike 驱动程序文件夹。

4. 从新的 EC2 实例中分离 EBS 卷。

5. 将 EBS 卷重新附加到受影响的 EC2 实例。

对于 Azure，请执行以下步骤：

1. 登录 Azure 控制台。

2. 转到虚拟机并选择受影响的虚拟机。

3. 在控制台左上角，单击“连接”。

4. 单击“更多连接方式”，然后选择“串行控制台”。

5. 一旦 SAC 加载完毕，输入“cmd”并按 Enter。

6. 输入“ch -si 1”并按空格键。

7. 输入管理员凭据。

8. 键入以下命令：

• “bcdedit /set {current} safeboot minimal”

• “bcdedit /set {当前} 安全启动网络”

此修复的手动性质对公司构成了重大挑战，尤其是那些没有备份所有 VDI 的公司，这可能会减慢恢复过程。如果在系统磁盘上启用了 Bitlocker，客户还需要恢复密钥才能访问安全模式。

全球影响：

Falcon Sensor 漏洞的影响深远，导致多个部门的运营严重中断。紧急服务、金融机构、交通网络和新闻机构都受到了影响，凸显了网络安全在现代基础设施中发挥的关键作用。虽然 CrowdStrike 的 Falcon 平台旨在保护系统免受恶意攻击，但该漏洞无意中将其变成了不稳定的根源。

CrowdStrike 正在积极努力解决该问题并防止将来再次发生类似事件。该公司敦促所有受影响的用户采用解决方法或将其 Falcon Sensor 更新至最新版本。