Windows电脑出现大量当机的情况,起因为CrowdStrike的EDR系统更新出错所致
https://www.ithome.com.tw/news/164030
资安业者CrowdStrike传出更新导致Windows电脑出现当机的现象。今天下午约1时开始,传
出有用户在社群网站Reddit、X反应电脑当机的情况,并出现蓝色当机(BSoD)的现象,发
生原因与名为csagent.sys的系统档案有关,而这个档案就是EDR系统CrowdStrike Falcon的
重要元件。
这样的情况已在全球造成灾情,例如:美国、印度多家航空公司营运出现影响,美国联邦航
空总署(FAA)对所有航班祭出停飞令;印度机场出现手写登机证的情形。而在国内,也出
现桃园机场8家航空公司紧急采取人工划位作业、台大医院传出部分系统发生短暂当机,而
台北荣总的急诊、住院服务柜台、检验及配药的部分受到影响。
针对这起事故,我们也询问CrowdStrike台湾总经理陈琤琤,她表示未被授权发言而无法说
明。
有人在社群网站Reddit指出,CrowdStrike已对用户发出资安公告,标题是与Falcon Sensor
相关的Windows当机事故,并表明他们的工程团队着手处理此事,用户不要再填写新的支援
工单通报。他们后续也会更新处理的情形。不过,这份资安公告并非所有人都能存取,必须
为该公司用户才能检视。
这样的当机事故出现后,我们也听闻有部分IT人员透过安全模式开机,更改这套EDR系统的
资料夹名称或主程式档案,缓解上述当机的情况。但值得留意的是,这种暂时解决措施会失
去相关防护效果,最好在资安业者提供修补程式之前,应暂停使用电脑。
不过,后来有用户在社群网站张贴CrowdStrike提出的临时解决方法,其做法是重新开机到
安全模式,存取C:\Windows\System32\drivers\CrowdStrike资料夹,将档名为C-00000291
开头的系统档(.SYS)全数删除,就能在维持该EDR系统提供相关防护的情况下正常开机、
进入Windows作业系统。