Системные администраторы затронутых IT-систем сообщили, что начали экстренно отключать сервера с CrowdStrike. После этого ПК, IP-телефония и другие системы у корпоративных пользователей снова заработали.

Ещё одно временное решение заключается в переименовании папки по пути "c:\windows\system32\drivers\crowdstrike" на другое название.

По большей части пострадала IT-инфраструктура в Австралии, но потом инцидент затронул и другие страны по мере развёртывания некорректного обновления систем CrowdStrike. Там BSOD начали возникать на ПК в отделениях полиции, администрации тюрем и в медучреждениях.

🥸 godnoTECH - Новости IT

Апокалипсис. День 1

Безумное событие для мировой инфраструктуры: Crowdstrike BSOD 👨‍🦳 Упали системы десятков тысяч компаний по всему миру, включая финансовый сектор, рынок авиаперевозок и тд.

Проблема не будет решена быстро. Затронутые компьютеры находятся в состоянии, когда они не подключены к сети, поэтому Crowdstrike не может просто выпустить обновление, чтобы все исправить.

Нельзя пренебрегать главным правилом - пятницы только для чтения!

Временное решение:
1. Boot Windows into Safe Mode or the Windows Recovery Environment
2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
3. Locate the file matching “C-00000291*.sys”, and delete it.
4. Boot the host normally.

Еще одно временное решение для csagent.sys:
Загрузитесь в безопасном режиме, зайдите в реестр и отредактируйте следующий ключ:

HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start from a 1 to a 4

Это отключает загрузку csagent.sys загрузку.

_________________
Ну и комментарии некоторых админов по произошедшему:

Yes, just had 160 servers all BSOD. This is NOT going to be a fun evening.

I was woken up and had to drive into work for this mess! 16K windows and over 2k servers. Thanks a lot CrowdStrike.

We lost over 960 instances in the datacenter. Workstations across the globe lost. The recovery for staff workstations is going to be insane.

I love being woken up for this bullshit in the middle of the night!

This shit fucked my whole company end users and servers

We have 1000+ employees and 6 help desk guys. Even if it only takes them 5 minutes for each person(lmao) that's 1000 x 5 / 60 / 6 = 14 straight hours of work from each of them. That's not a feasible solution. I literally don't know what we're gonna do lol.

Только что получил звонок, что это происходит в больнице, в которой я работаю. все 4000 клиентов переходят в режим восстановления

У меня 4000 офисных ПК. 1000 производственных ПК. И около 3000 магазинов, в которых есть как минимум 2-3 POS
Боже, помоги мне и нашей команде

Идеальное время для моего отпуска. Наблюдаю, как мир ИТ приходит в замешательство, и я могу просто наблюдать со стороны. Зная, что моя организация не использует CrowdStrike

Типичный 🥸 Сисадмин

Российским телеграм-каналам открыли монетизацию 💳

Найти её можно в разделе «Статистика». Выводить прибыть с рекламы можно во внутренней валюте Stars.

🥸 godnoTECH - Новости IT

OpenAI выпустила модель GPT-4o mini в бесплатном режиме

Мини‑модель ИИ является упрощенной версией GPT-4o, самой быстрой и мощной модели OpenAI на сегодняшний день. В модель планируется интегрировать обработку изображений, видео и аудио.

🥸 godnoTECH - Новости IT

«Чтобы исправить «синий экран смерти« из-за CrowdStrike, просто перезагрузите компьютер 15 раз подряд», – Microsoft.

Эксперты из Microsoft пояснили СМИ, что для исправления «синего экран смерти» из-за CrowdStrike нужно просто перезагрузить компьютер 15 раз подряд.

Этот совет предназначен специально для системных администраторов виртуальных машин, использующих Azure и столкнувшихся с глобальным сбоем в работе ПК и серверов на Windows из-за некорректного обновления ИБ-приложения CrowdStrike.

Надо запомнить на всякий случай в качестве «полезного« совета: «А ты комп 15 раз перезагрузил?» 🌚

🥸 godnoTECH - Новости IT

Microsoft одобрила поддельный блокировщик рекламы, который внедрял вредоносное ПО на уровне ядра

Киберпреступникам удалось обманом проникнуть в защищённую экосистему Microsoft, используя вредоносное программное обеспечение, замаскированное под обычное приложение. Об этом стало известно благодаря расследованию Eset.

Вредоносное ПО маскируется под установщик HotPage.exe, который якобы улучшает работу веб-сайтов и блокирует рекламу. Однако на самом деле DWAdsafe внедряет код в системные процессы и перехватывает трафик браузера, перенаправляя пользователей на рекламу, связанную с играми.

Встроенный драйвер HotPage.exe был одобрен и подписан Microsoft, хотя принадлежал китайской компании Hubei Dunwang Network, о которой практически ничего не было известно.

ПО предназначалось для пользователей, говорящих на китайском языке и собирало данные о компьютере для статистических целей, которые затем перенаправлялись на сервер разработчиков DWAdsafe.

Беспокойство вызывает тот факт, что процесс проверки и одобрения Microsoft позволил вредоносному приложению попасть в каталог Windows Server.

🥸 godnoTECH - Новости IT

Уязвимость в работе Cisco SSM On-Prem позволяла менять пароли пользователей, включая администраторов

Уязвимость затрагивает локальные установки SSM до версии 7.0, известные как Cisco Smart Software Manager Satellite (SSM Satellite).

Являясь компонентом интеллектуального лицензирования Cisco, SSM On-Prem помогает поставщикам услуг и партнёрам компании управлять учётными записями клиентов и лицензиями на продукты. Этот критический недостаток безопасности с идентификатором CVE-2024-20419 вызван непроверенной уязвимостью смены пароля в системе аутентификации SSM On-Prem.

🥸 godnoTECH - Новости IT

Сокращённые с помощью goo. gl ссылки перестанут работать в августе 2025 года

В 2018 году Google анонсировала закрытие сервиса генерации коротких URL-адресов goo. gl для потребителей и разработчиков, а годом позже с его помощью была сформирована последняя ссылка. Теперь же IT-гигант объявил, что с 25 августа 2025 года созданные с помощью goo. gl ссылки перестанут работать.

🥸 godnoTECH - Новости IT

Chrome будет спрашивать у пользователей, зачем они скачивают подозрительные файлы ❓

Google планирует изменить способ обработки браузером Chrome потенциально опасных или неизвестных загрузок. Как сообщает TechSpot, в браузере вскоре появится новая форма сообщения, в котором пользователям будет предложено указать причину желания скачать потенциально «вредоносный» файл.

🥸 godnoTECH - Новости IT

Новости прошедшей недели

👨‍🔬 Инженеры разработали растягивающуюся литий-ионную батарею

🤐 OpenAI запрещает своим сотрудникам раскрывать информацию о потенциальных рисках, связанных с искусственным интеллектом

⌚️ Опубликованные в сети PoC-эксплоиты используются в атаках уже через 22 минуты

🚫 Microsoft ликвидировала подразделение по обеспечению инклюзивности

🌐 HP сняла с производства принтеры, требующие постоянного подключения к Интернету

От сбоя CrowdStrike по всему миру пострадали 8,5 млн Windows-компьютеров

Это меньше 1% от общего количества функционирующих сейчас Windows-компьютеров. Однако экономические последствия в разных странах оказались немалыми.

🥸 godnoTECH - Новости IT

Intel выпустила процессоры, в которых вообще отказалась от малых ядер 🤔

Линейка получила название Core 14xx1E. Физически на кристалле малые ядра имеются, но они отключены. Возможно, это попытка использовать частично дефектные кристаллы.

К примеру, флагман Core i9-14901KE имеет восемь больших ядер и работает на частоте 5,8 ГГц при TDP 125 Вт. То есть это Core i9-14900K с отключенными малыми ядрами и чуть сниженной частотой.

В целом в линейке 11 моделей, но это включая энергоэффективные Core T. Фактически почти для каждой обычной модели Intel выпустила Core E с отключенными малыми ядрами. При этом 11 моделей разделены всего на две группы: восьмиядерные либо шестиядерные. Других конфигураций из-за отсутствия малых ядер просто нет.

🥸 godnoTECH - Новости IT

Microsoft выпустила вспомогательный инструмент для системных администраторов для исправления BSOD в Windows 10/11 из-за некорректного обновления ПО CrowdStrike с помощью загрузочного USB-накопителя и скрипта MsftRecoveryToolForCS.ps1.

🥸 godnoTECH - Новости IT

Вчера взломали Fleep Bot — популярный бот отложенного постинга для телеграм-каналов

Во многих каналах вышли посты политического характера, начинающиеся со слов «Это сообщение нам придется удалить...».

🥸 godnoTECH - Новости IT

В 80% инцидентов ИБ напрямую виноват человеческий фактор

Innostage SOC CyberART провел исследование инцидентов ИБ, с которыми столкнулись российские компании в первом полугодии 2024 г.

▪️ 48,9% выявленных инцидентов связаны с упоминаниями в репозитории. Такое происходит, когда сотрудник случайно опубликовал в общедоступном репозитории код с чувствительной информации.

▪️ В 29,2% причиной инцидентов ИБ становится новая служба на сетевом периметре, внедренная без соответствующего анализа угроз и оценки рисков.

▪️ В 11% исследованных кейсов хакеры изменили веб-контент компании-жертвы. Подмена контента сайта или приложения осуществляется через внедрение вредоносного кода.

▪️ 9% инцидентов ИБ приходится на создание потенциально фишингового домена.

▪️ В 1,6% инцидентов ИБ виноваты ошибки конфигурации.

▪️ Оставшиеся 0,3% относятся к категории «упоминание в утечке». Это критические инциденты информационной безопасности, при которых конфиденциальная информация или данные о компании становятся доступны третьим лицам через несанкционированное раскрытие или публикацию.

🥸 godnoTECH - Новости IT

6,8% интернет-трафика является потенциально мусорным 🗑

Cloudflare отметила, что за это период с 1 апреля 2023 года по 31 марта 2024 года доля вредоносного или мусорного HTTP-трафика увеличилась с 6% до 6,8%, а в пиковые дни его объём достигал 12%.

53,9% такого трафика приходится на вредоносную деятельность, попытки атак и активность ботов, 37,1% — на DDoS-атаки, а 7.2% — на запросы с IP-адресов из чёрных списков.

31,2% трафика связано с активностью ботов, но лишь 7% запросов от ботов генерируются известными легитимными сервисами, такими как поисковые системы. Все остальные отнесены к категории неизвестных ботов, которые потенциально могут совершать вредоносные действия.

🥸 godnoTECH - Новости IT

Telegram достиг 950 млн активных пользователей в месяц, сообщил Павел Дуров. Это на 50 млн больше, чем весной 2024-го.

🥸 godnoTECH - Новости IT

За несколько дней до падения Windows по всему миру из-за апдейта от Crowdstrike их CISO (Директор по информационной безопасности) Шон Хенри активно сливал акции своей же компании.

🥸 godnoTECH - Новости IT

Подсистема Windows для Android получила обновление перед прекращением поддержки

Подсистема Windows для Android (Windows Subsystem for Android, WSA) получила незначительное обновление безопасности на канале Release Preview. WSA обновили до версии 2407.40000.5.0 в рамках программы предварительной оценки Windows 11.

Ранее Microsoft объявила, что прекратит поддержку WSA 5 марта 2025 года. Уже сейчас приложение невозможно найти в Microsoft Store или в Amazon Appstore.

Для ПК с Windows 11 доступно множество эмуляторов приложений Android, самым популярным из которых является BlueStacks. Он требует учётной записи Google

🥸 godnoTECH - Новости IT