7·19微软蓝屏事件是指当地时间2024年7月19日美国网络安全企业“群集打击”(CrowdStrike)软件出现问题引发的操作系统蓝屏、全球宕机事件。此次微软蓝屏波及不少国家地区,影响全球近千万台使用Windows的设备,导致航空公司、银行、电信公司和媒体、健康医疗等各个行业陷入混乱。“微软
蓝屏”登上热搜,不少打工人晒出电脑蓝屏画面,戏称“感谢微软,提前放假”。
事件背景
Microsoft 365服务中断
当地时间2024年7月18日晚间,微软通报称,美国中部地区的用户可能遭遇了Azure多项服务及微软365应用套件的使用问题,可能涉及“服务管理操作、服务连接性或可用性方面的故障”。此外,微软多用户在线对战平台Xbox Live也在当地时间7月18日晚间瘫痪。微软通报称,可能涉及“服务管理操作、服务连接性或可用性方面的故障”。
根据网站故障追踪软件Downdetector 7月19日数据,日本用户报告Microsoft 365出现了问题。截至当地时间下午1:35左右,共有2800多份故障报告,其中69%的报告与Onedrive有关。此次宕机波及了微软365的多项服务,包括Teams等关键应用。
当地时间7月19日,路透社报道,微软云服务故障导致了一些航空公司暂停航班运营。特别是美国边疆航空公司,其系统直接受到了微软服务中断的影响。该公司随后发布声明称:“在此期间,预订、办理登机手续、获取登机牌以及部分航班可能会受到影响。”
2024年7月19日,美国微软报告称其 Microsoft 365 应用程序和服务出现中断,影响了全球的企业和用户。“我们正在调查一个影响用户访问各种微软 365 应用程序和服务的问题。”
2024年7月19日15时55分,微软365在“X”上回应称,公司正在采取解决该问题,当前多项服务正在持续恢复。
当地时间2024年7月19日,微软宣布,其云服务在经历全球性中断后已成功恢复运营。微软确认已找到问题根源,并宣布大部分服务已恢复正常。尽管如此,该公司承认,该地区少数客户的服务可能仍会受到影响。根据北京时间2024年7月19日14点34分微软网站上的最新消息,该公司表示,将继续以最高优先级和紧急程度处理这一事件。
蓝屏死机
2024年7月19日,“微软蓝屏”上榜全球热搜。具体说,Windows10系统出现了蓝屏死机(BlueScreenofDeath)的问题。电脑卡在“恢复”界面,该界面显示:“看起来Windows没有正确加载。如果您想重新启动并再次尝试,请在下方选择“重新启动我的电脑”。公开信息显示,
蓝屏死机是Windows操作系统在无法从一个系统错误中恢复时所显示的屏幕图像,通常伴随着错误代码和错误信息,BSOD的出现是为了保护计算机,以免其遭受进一步损害。
事件经过
首先发出警报的是
澳大利亚的银行、航空公司和电视广播公司,因为数千台设备开始下线。随着总部设在欧洲的企业工作上班,问题迅速蔓延。英国广播公司天空新闻目前无法播放早间新闻简报,并发布了一则“广播中断”的消息致歉。
欧洲最大的航空公司之一
瑞安航空(Ryanair)也表示,他们遭遇了由“第三方”IT问题引发的影响,导致航班起飞受阻。
美国联邦航空管理局(FAA)表示,由于“沟通问题”,达美航空、联合航空以及美国航空的所有航班都已停飞。柏林机场也因“技术问题”警告称,可能会有航班延误。
日本东京时间2024年7月19日13时30分左右开始,日本地区运行
微软视窗(Windows)操作系统的电脑陆续开始出现访问异常问题。据美国微软日本子公司确认,安装了美国网络安全企业“群集打击”(
CrowdStrike)软件的计算机上出现了该问题。一家使用了CrowdStrike软件的公司表示,19日13时40分左右,其办公室电脑陆续出现蓝屏,重启一段时间后又出现蓝屏,导致无法工作。
不少网友在X平台发文晒出自己的蓝屏截图。有网友称:“如果你在你的Windows电脑上得到了这个...你并不孤单...今天全世界都在得到它。”
事件影响
航空公司
当地时间2024年7月18日晚,由于微软服务中断,包括美国边疆航空在内的航空公司的运营受到影响。FlightAware数据显示,美国
边疆航空公司周四累计取消147个航班,延误了212个航班。航空公司Allegiant旗下45%的航班延误,SunCountry也遭遇23%的大面积航班延误。
2024年7月19日,美国联邦航空管理局的状态页面显示,由于通信问题,美国航空当天宣布所有航班停飞;根据美国联邦航空管理局空中交通管制系统指挥中心,美国联合航空、美国航空和达美航空已对所有航班发出地面停飞指令。同日,美国联邦航空管理局空中交通管制系统指挥中心发布通知称,美国航空已取消针对所有航班的地面停飞指令。
2024年7月19日,由于微软系统出现大面积故障,
香港国际机场的自助登机设施受到影响,航空公司须改用人工办理登机手续。香港国际机场表示,已启动紧急应变机制,建议旅客在航班出发前三小时抵达机场,办理登机手续。德国柏林机场也称,由于技术故障,登机手续将出现延误。
2024年7月19日,全球共有约110000个商业航班计划,截至英国标准时间11:00,已有1390个航班被取消。
2024年7月19日,国航、东航、南航等多家航空公司未受到大范围系统技术故障影响,航班运行正常。北京首都机场和大兴机场出发的国际航班也运行正常。
2024年7月20日,美国微软公司说,据估算,因“众击”公司安全软件升级引发的大规模宕机事件影响了全球大约850万台安装微软视窗操作系统的设备,相当于现在所有安装视窗系统设备总数的不到1%。这次宕机事件导致全球数千架次航班被取消,数万架次航班延误,大量旅客滞留机场。
截至2024年7月21日,美国已经连续第三天有超过1000架次航班被取消。航班追踪网站的数据显示,受全球宕机事件影响,截止21日晚间,约有超过1500架次美国境内、飞往以及飞离美国的航班被取消,其中达美航空和联合航空的航班被取消最多。此外,还有超过7400架次美国航班遭遇延误。
当地时间2024年7月22日,美国达美航空再取消700架次航班。航空数据企业OAG表示,达美航空于19日至21日已取消了超过4600架次航班,多于其他任何航空公司。
平台网络
西日本旅客铁道公司(JR西日本)列车行驶位置信息因Windows系统故障导致无法获取,澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等也受到影响。
诸多国际连锁酒店集团,包括万豪、凯悦、
希尔顿和洲际等集团的预订,均受到此次故障不同幅度的影响。大量酒店使用Windows系统的电脑来管理客房预订、财务记录和客户信息等关键业务,蓝屏事件可能导致这些系统无法正常运行,并影响酒店的日常运营。
2024年7月19日,一位在天津出差的赵刚(化名)告诉记者,自己当天下午14:25左右正在洲际旗下天津海河假日酒店办理入住,碰巧赶上了系统全面瘫痪,房卡也无法制作。所有流程全人工纸质处理,好在“原始”的状态下井然有序。另一位正在新加坡出差的互联网从业者也表示,自己今日在新加坡万豪旗下酒店办理退房时,看到酒店出现了因为微软蓝屏事件而无法为客人办理入住的情况。
医疗系统
由于网络安全公司“众击”技术故障而导致的全球大规模网络故障,不仅对美国、英国、德国等全球多地的航空、银行和媒体机构运营造成严重影响,这一故障同样也影响到了许多国家的医疗系统,给医患双方造成了严重不便。
美股股价
当地时间2024年7月19日,CrowdStrike美股盘前跌超13%,微软跌2%。CrowdStrike美股收跌11%,报每股304.96美元,市值一夜蒸发近百亿美元,创2022年以来最差单日表现。
财产损失
2024年7月,法航荷航首席财务官Steven Zaat表示,全球IT故障预计给公司造成近1000万欧元(约合1085万美元)损失。
影响范围
有行业人士表示,CrowdStrike是安全控制软件,多数部署在企业环境中,个人家庭的电脑此次大概率不会出问题。
中国企业
微软蓝屏事件,多数中国企业幸免。2024年7月19日,中国三大航航班
国航、
东航、
南航未受微软故障影响,北京首都机场和大兴机场出发的国际航班也运行正常。
2024年7月19日下午,微软服务中断影响范围持续扩大,上海康莱德酒店因操作系统无法正常使用导致入住和退房受到影响。
2024年7月21日,导致此次微软系统崩溃的原因被找到,是网络安全公司CrowdStrike技术更新导致。此次中国内地的航空公司和机场没有购买和部署CrowdStrike,当天的航班运行和进出港都基本正常。
铁路运输
英国爱丁堡机场的自动登机扫描仪处于离线状态,多家火车公司称或导致列车延误。西日本旅客铁道公司(JR西日本)列车行驶位置信息因Windows系统故障导致无法获取。
金融机构
德国银行业协会发言人称,德国银行业正面临着“中断”。南非Capitec银行表示,银行卡支付、ATM和APP服务都遭遇严重中断,新西兰多家银行也受到影响。
新闻媒体
2024年7月19日,英国广播公司天空新闻无法播放早间新闻简报,并发布了一则“广播中断”的消息致歉。澳大利亚广播公司SBS、Network 10、ABC和Sky News Australia无法在当天下午播放原定的节目。
奥运会
2024年7月19日,巴黎奥组委发邮件通知媒体,巴黎奥运会证件激活服务暂停,原因是微软系统出现问题。
制造生产
特斯拉位于奥斯汀、德克萨斯和内华达的超级工厂受到“Windows主机中断”的影响,导致服务器、笔记本电脑和制造设备出现问题,让部分工人提前下班。
事件结果
事件回应
中国微软支持中心客服人员表示,对于电脑出现批量蓝屏的情况,已了解到大部分蓝屏都是公司电脑安装了三方杀毒软件之后出现的,确认是相关的杀毒软件更新导致的蓝屏,这种情况如果修改驱动文件名称无效,只能建议联系公司IT进一步处理。
CrowdStrike在美国东部时间2024年7月19日凌晨发布的一份支持声明中指出:“我们收到很多关于Windows主机蓝屏问题的报告,影响了多个Falcon Sensor版本。”CrowdStrike已经发现并修复了这个问题,但对已受影响的电脑似乎并没有立即有效。
。
2024年7月19日下午17时45分,CrowdStrike创始人兼CEO George Kurtz在社交媒体X上回应称:CrowdStrike正积极与受Windows主机单次内容更新中发现缺陷影响的客户合作。Mac和Linux主机不受影响。这不是安全事件或网络攻击。目前已确定、隔离了该问题,并部署了修复程序。
当地时间2024年7月20日,美国网络安全和基础设施安全局(CISA)局长珍·伊斯特利(Jen Easterly)就全球大规模IT故障发表评论称,该事件是由Crowdstrike的Falcon平台的缺陷更新引起的,这引发了全球某些版本Windows系统的大面积崩溃。这是一起严重影响全球关键基础设施运行的重大事件。虽然这不是恶意的,但这是一个严重的错误。
事件原因
2024年7月19日下午,市场上有消息称,这次大规模的Windows10蓝屏死机故障原因在于安全软件公司Crowdstrike。此次事故系CrowdStrike Falcon 的Sensor更新后,内核驱动文件csagent.sys导致全球大面积用户的Windows系统出现蓝屏。据悉,网络安全服务提供商CrowdStrike的一个错误更新导致受影响的电脑和服务器无法正常启动,迫使它们陷入了恢复启动循环。CrowdStrike在全球范围内被广泛用于管理Windows PC和服务器的安全。
当地时间2024年7月24日,美国电脑安全技术公司“众击”(CrowdStrike)发布了其对此次大规模网络故障初步审查的详细信息,将网络故障归咎于其网络安全平台内容配置更新中的一个漏洞。该公司表示,这个漏洞允许将“有问题的内容数据”部署到客户电脑上,引发了“意外异常”,从而导致Windows操作系统崩溃。
提出索赔
分析机构Marsh & McLennan Companies称,超过75家客户可能会因为CrowdStrike全球性崩溃事件而提出网络故障索赔。
涉事公司
CrowdStrike是一家总部位于美国得克萨斯州奥斯汀的网络安全技术公司。它提供云工作负载保护和端点安全、威胁情报和网络攻击响应服务。该公司曾参与了几次备受瞩目的网络攻击调查,包括2014年索尼影业黑客攻击,2015-16年对民主党全国委员会(DNC)的网络攻击,以及2016年涉及DNC的电子邮件泄露等。
社会评论
科技生态是融合的,但同时代表影响也是交错和蔓延的。Windows本身是受到了CrowStrike的影响。CrowStrike在美国属于头部的安全大企业,但依然也会爆发如此大规模影响的问题,某种程度上,这属于供应链引起的安全事件,对于安全建设,不仅自身要做好,也要做好供应链的安全管理。此次事件意味着终端是不可忽视的一个安全防护薄弱环节,无论这次的升级危机,还是频频爆发的勒索,很多都是从终端入手。而且终端影响每一个用户,造成的社会影响也往往特别大。(网络安全商业研究分析机构斯元创始人 Bruce Zhang 评)
概括来讲主要是CrowdStrike的驱动程序和windows操作系统出现冲突导致的问题。背后的原因可能是因为不兼容、驱动程序之间有冲突、驱动程序可能触发内核的bug等。此次事件也为业界带来重要的启示。首先安全依然是重中之重。他还提到,在进行软件更新时,全量更新也是行业大忌。(青藤云安全COO程度 评)
类似安全事件要做到完全避免还是很难的,在云服务应用系统方面进行分散风险设置,比如服务器可以用不同系统进行支撑,包括Windows、Linux、Mac系统等。(金山毒霸安全技术专家王鑫 评)
尤其在云计算时代,业务系统稳定性面临的挑战将比以往更加严峻。对业务有高稳定性要求的用户,可采用多供应商互为备份,以避免出现供应商单点故障,还可进行故障应急演习,对此类场景有应对预案和回退措施。(奇安信网络安全事件响应专家、威胁情报中心负责人汪列军 评)
让一家企业购买多家安全供应商的服务涉及成本会较高,并不多见。重点在于应该有容灾备份,“系统应该有备份方案,当应急事件出现时,能快速恢复到一个初始状态,或者恢复到某个备份的状态。(奇安信行业安全研究中心主任裴智勇 评)
在技术层面,本次事件说明了在全球范围内同时进行软件更新和配置管理所面临的风险,尤其是当影响触及企业和关键基础设施时,任何细微的配置错误或更新故障,都可能导致严重的后果。此次微软蓝屏事件也促使业界深思,需要加快信创步伐,从基础操作系统到顶层应用,构筑完全自主可控的能力。(亚信安全SaaS产品部总经理赵洪兵 评)
这一事件并非网络攻击,而是与美国微软公司相关的一次技术故障,让用户端电脑惊现大量蓝屏,并伴随访问延迟、功能不全或无法访问现象,因此被称为“微软蓝屏”事件。Windows是目前世界上应用最为广泛的计算机桌面操作系统之一,其稳定性会对社会运行和人们工作生活造成直接影响。而今“微软蓝屏”事件,暴露了全球数字基础设施的脆弱性,并为信息安全敲响了警钟。“微软蓝屏”事件由一次技术更新而起,但其凸显的不仅仅是技术本身的问题。其应促使各国反思并加强自身网络安全建设,减少对外部技术的依赖,确保关键基础设施的稳定运行。全球数字化基础设施存在相互关联性和潜在的连锁效应,如果在重要领域对少数科技巨头产生高度依赖,一旦这些核心系统出现问题,会迅速波及全球各个行业,如同此次从航空到医疗、金融、媒体、能源等。这起事件还凸显了拥有自主可控操作系统与软件的紧迫性。多个国家和地区开始反思并加速推进国产操作系统与软件的研发及应用,以减少对外部技术的依赖,确保国家安全和关键基础设施的稳定运行。与此同时,人们亦从中看到网络安全国际协作的重要性。网络空间作为全球公域,其风险是一种全球性挑战,其安全维护不能仅依靠单一国家,而需要跨国界的协调与合作机制,共同制定标准和应急响应策略。“微软蓝屏”事件,其实是对全球网络安全战略、技术独立性、国际合作以及公众教育的一次全面警示。(
科技日报 评)