​全球出现大规模“微软蓝屏”，问题源头指向安全软件“CrowdStrike”

全球出现大规模“微软蓝屏”，问题源头指向安全软件“CrowdStrike”

7 月 19 日，" 微软蓝屏 " 登上社交平台热搜。

据中文社交平台上的大量 Windows 用户反应，办公电脑突然出现蓝屏画面，其中不少蓝屏界面还出现了 "csagent.sys" 错误。与此同时，这一问题也影响到了全球多个地区的 Windows 用户。

据报道，澳大利亚的银行、航空公司和电视广播公司首先发出了警报。随着欧洲企业开始上班，问题正在蔓延。英国广播公司天空新闻目前无法播放早间新闻简报，并显示一条消息，对 " 此次广播中断 " 表示道歉。欧洲最大的航空公司之一瑞安航空也表示，它遇到了 " 第三方 "IT 问题，影响了航班起飞。

美国联邦航空管理局表示，由于 " 通讯问题 "，达美航空、联合航空和美国航空的所有航班均停飞。柏林机场也警告称，由于 " 技术问题 "，航班可能会延误。

" 公司里的办公电脑从上午就出现了大量蓝屏问题，IT 部门负责运维同事只能通过一个个电脑手动解决，才能恢复。"

一位从事境外旅游平台开发的软件工程师对钛媒体 APP 表示，此次 " 微软蓝屏 " 的源头与一款叫做 "CrowdStrike" 的安全软件更新有关。CrowdStrike 更新后，与 Windows 系统出现了不兼容，导致系统崩溃。" 更关键的是，微软看上去并没有提供回退方案。"

相关行业人士认为，CrowdStrike 终端拿到了错误配置，并进行全球推送，之后全球 Crowdstrike 用户的 Windows 蓝屏。粗略估计，全世界可能有数百万到千万台设备出现了蓝屏，目前只能一台台手工恢复。安装 CrowdStrike 后，会在 Windows 里面增加一个驱动 csagent.sys，这个驱动引起了今天的蓝屏。各大云厂商客户由于也装了 csagent，于是也都出现了蓝屏。

公开信息显示，CrowdStrike 由乔治 · 柯兹在 2011 年创立，使用名为 "Falcon" 的平台帮助客户实时搜寻跟收集数据，将数据传送到公司数据库 "Threat Graph" 进行处理跟分析，这个方法可以让 Falcon 平台成为能持续升级的安全产品。

根据 2024 年 CrowdStrike 公布的 IDC 端点安全市场份额报告，它在 26 家供应商中排名第一。Canalys 首席分析师 Jay McBain 曾表示："CrowdStrike 的增长速度超过了整个网络安全市场的增长速度。过去 5-6 年来，它已成为该渠道中增长最快的网络安全公司之一。"

19 日下午，CrowdStrike 表示服务中断是由于最新更新问题造成的，正在回滚更新。

在 Reddit 的一个帖子中，数百名 IT 管理员报告了普遍存在的蓝屏问题，解决方法包括将受影响的 Windows 计算机启动到安全模式，然后导航到 CrowdStrike 目录并删除系统文件。但这种恢复方法这对于某些基于云的服务器，甚至对于远程部署和使用的 Windows 笔记本电脑来说都会很麻烦。

" 一般情况下，软件更新前会在镜像环境下进行提前测试，进行各类风险评估。在镜像环境中跑通了，才会在实际的生产环境中上线。" 一位 IT 工程师对钛媒体 APP 表示，此次大规模的蓝屏事件，表明 CrowdStrike 在生产环境中碰到了测试时没有遇到的问题，最终导致了全球性的网络崩溃。

该工程师认为，CrowdStrike 现在回滚更新到之前的版本，也无法立即解决现有用户的设备崩溃问题。不过 CrowdStrike 是安全控制软件，大多部署在企业环境中，个人家庭的电脑应该不会出问题。

截至发稿，CrowdStrike 美股盘前下跌超过 13%，微软盘前下约 2%。（本文首发于钛媒体 APP，作者 | 饶翔宇 编辑 | 钟毅）