[新聞] Windows電腦出現大量當機的情況，起因為CrowdStrike的EDR系統更新出錯所致

看板Tech_Job (科技人)作者KotoriCute (乙醯胺酚)時間3月前 (2024/07/19 17:50)推噓4(4推 0噓 9→)

留言13則, 7人參與討論串1/1

Windows電腦出現大量當機的情況，起因為CrowdStrike的EDR系統更新出錯所致 https://www.ithome.com.tw/news/164030 資安業者CrowdStrike傳出更新導致Windows電腦出現當機的現象。今天下午約1時開始，傳出有用戶在社群網站Reddit、X反應電腦當機的情況，並出現藍色當機（BSoD）的現象，發生原因與名為csagent.sys的系統檔案有關，而這個檔案就是EDR系統CrowdStrike Falcon的重要元件。這樣的情況已在全球造成災情，例如：美國、印度多家航空公司營運出現影響，美國聯邦航空總署（FAA）對所有航班祭出停飛令；印度機場出現手寫登機證的情形。而在國內，也出現桃園機場8家航空公司緊急採取人工劃位作業、臺大醫院傳出部分系統發生短暫當機，而臺北榮總的急診、住院服務櫃臺、檢驗及配藥的部分受到影響。針對這起事故，我們也詢問CrowdStrike臺灣總經理陳琤琤，她表示未被授權發言而無法說明。有人在社群網站Reddit指出，CrowdStrike已對用戶發出資安公告，標題是與Falcon Sensor 相關的Windows當機事故，並表明他們的工程團隊著手處理此事，用戶不要再填寫新的支援工單通報。他們後續也會更新處理的情形。不過，這份資安公告並非所有人都能存取，必須為該公司用戶才能檢視。這樣的當機事故出現後，我們也聽聞有部分IT人員透過安全模式開機，更改這套EDR系統的資料夾名稱或主程式檔案，緩解上述當機的情況。但值得留意的是，這種暫時解決措施會失去相關防護效果，最好在資安業者提供修補程式之前，應暫停使用電腦。不過，後來有用戶在社群網站張貼CrowdStrike提出的臨時解決方法，其做法是重新開機到安全模式，存取C:\Windows\System32\drivers\CrowdStrike資料夾，將檔名為C-00000291 開頭的系統檔（.SYS）全數刪除，就能在維持該EDR系統提供相關防護的情況下正常開機、進入Windows作業系統。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.228.187.140 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1721382658.A.3D0.html