今天(7月19日)下午陆续有用户反映Windows电脑出现蓝色当机(BSoD)的现象,并显示出现错误的原因源自于名为csagent.sys的文件,传出就是CrowdStrike Falcon更新出错造成
这样的当机事故出现后,我们也听闻有部分IT人员通过安全模式开机,更改这套EDR系统的文件夹名称或主程序文件,缓解上述当机的情况。但值得留意的是,这种暂时解决措施会失去相关防护效果,最好在资安业者提供修补程序之前,应暂停使用电脑。
不过,后来有用户在社群网站张贴CrowdStrike提出的临时解决方法,其做法是重新开机到安全模式,存取C:\Windows\System32\drivers\CrowdStrike文件夹,将文件名为C-00000291开头的系统档(.SYS)全数删除,就能在维持该EDR系统提供相关防护的情况下正常开机、进入Windows操作系统。
除了Windows电脑因CrowdStrike Falcon组件更新造成灾情,微软今天凌晨也发生服务停摆的状况,据传也与CrowdStrike有关。
而在世界协调时间(UTC)7月19日9时40分,微软在Azure服务状态公告页面,证实他们的确受到CrowdStrike的影响。微软表示,他们察觉问题出在:运行CrowdStrike Falcon代理程序的Windows与Windows Server操作系统的虚拟机,这些系统可能遭遇系统臭虫检查(蓝白当机画面,BSOD)的问题,而卡在重新启动的状态,此问题开始出现的时间是世界协调时间7月18日19时。
另一个微软公告云端服务状态的页面,也提出相同说明,并增列CrowdStrike的相关公告博客文章网址链接。
CrowdStrike在这篇公告提到,Mac与Linux这两个系统不会受到影响,并强调本次事件并非资安事故或网络攻击。
