วันนี้ทุกคนน่าจะได้เห็นข่าวคอมพิวเตอร์ที่ใช้ระบบปฎิบัติการ Windows จู่ๆใช้การไม่ได้ โดยมีอาการคือขึ้น Blue Screen Of Death หรือจอฟ้าแห่งความตายอันลือชื่อของ Windows ที่ทำใครหลายๆ คนขยาดมาแล้ว และหลายคนๆ ที่อ่านบทความนี้อยู่ ก็อาจจะเป็นหนึ่งผู้ประสบภัย BSOD ไปแล้วเรียบร้อยก็ได้ นั่นเพราะว่าคอมพิวเตอร์จำนวนมากทั่วโลกจู่ๆ ก็เกิดปัญหาเดียวกันพร้อมๆ กัน และทำให้ระบบหลายๆ อย่างบนโลกถึงกับใช้งานไม่ได้ไปเลยทีเดียว และใครที่ไม่เคยได้ยินชื่อ CrowdStrike ก็จะได้รู้จักกันในวันนี้อย่างแน่นอน
.
เกิดอะไรขึ้นในวันนี้กันแน่?
ถ้าจู่ๆ หลังจากกลับมาจากพักเที่ยงวันนี้ คอมพิวเตอร์ของคุณขึ้นจอฟ้ามรณะหลายคนก็คงจะกรีดร้องกับงานที่ยังไม่ได้เซฟ หรือบางคนก็แค่ยักไหล่แล้วรีสตาร์ทเครื่องตามปกติ หวังว่าอาการดังกล่าวจะหายไป แต่มันกลับไม่หายไป และกลายเป็นว่าคุณไม่ใช่คนเดียวในบริษัทที่เจอปัญหานี้ แต่มันคือคอมทุกเครื่องทั้งบริษัทเลยตะหาก ในแว่บแรกหลายๆ คนอาจจะคิดว่า หรือนี่เป็นการโจมตีทางไซเบอร์อะไรสักอย่าง ต่อบริษัทที่รักยิ่งของเราหรือไม่?
.
แต่จริงๆ แล้วไม่ใช่ เพราะคอมพิวเตอร์ทั่วโลกที่ใช้ระบบปฎิบัติการ Windows หลายๆ เครื่องก็กำลังประสบปัญหาเดียวกับคุณอยู่ ไม่ว่าจะที่สนามบิน โรงพยาบาล สถาบันการเงิน องค์หลายๆ แห่งทั่วโลกก็เจอปัญหานี้เช่นกัน จนพนักงานหลายคนไม่สามารถทำงานต่อได้ ซึ่งหลายๆ คนก็อาจจะยินดีที่ได้กลับบ้านเร็วเพราะไม่สามารถทำงานได้ แต่กับหลายๆ ที่แล้วออกจะเป็นฝันร้ายในวันศุกร์ด้วยซ้ำ เพราะระบบการทำงานที่สำคัญหรือเกี่ยวข้องกับชีวิตหลายๆ อย่าง กลับหยุดทำงานไปเสียดื้อๆ
.
CrowdStrike คือใคร?
CrowdStrike คือ บริษัทรักษาความปลอดภัยทางไซเบอร์ที่ตั้งอยู่ในอเมริกาก่อตั้งเมื่อปี 2011 เป็นผู้ให้บริการทางด้าน IT Security Solution ให้กับบริษัททั่วโลกมากมาย เช่น สถาบันการเงิน สถานพยาบาล สนามบิน สายการบิน บริษัทพลังงาน และอื่นๆอีกมากมาย ซึ่งหน้าที่ของบริษัทคือการเสนอโซลูชั่นหรือบริการด้านความปลอดภัยทางไซเบอร์ให้กับลูกค้าเหล่านี้ เนื่องจากในช่วงหลายปีที่ผ่านมา การโจมตีทางไซเบอร์ เช่น Ransomware และการโจมตีอื่นๆหนักหน่วงขึ้นเอามากๆ ทำให้บริษัทเหล่านี้ต้องหาผู้ดูแลความปลอดภัยให้ระบบในองค์กร หนึ่งในนั้นคือ CrowdStrike
.
สาเหตุของปัญหาคืออะไร?
CrowdStrike มีโปรดักส์ตัวหนึ่งที่ชื่อว่า Falcon ซึ่งมีหน้าที่หลักคือป้องกันการโจมตีด้วยไวรัส มัลแวร์ และการโจมตีอื่นๆ และจะใช้ไฟล์ Agent ฝังตัวอยู่ในเครื่องคอมพิวเตอร์ของลูกค้าคอยดูแลสอดส่อง และรับมือภัยจากการโจมตีอย่างทันท่วงที ซึ่งจะให้เปรียบคือทำหน้าที่คล้ายๆ โปรแกรมแอนตี้ไวรัสที่เราคุ้นเคย แต่ทรงพลังกว่า เพราะเชื่อมต่อ Cloud อยู่ตลอดเวลา และด้วยการที่ทรงพลังกว่านี้เอง ตัว Falcon จึงต้องได้รับสิทธิ์ในการเข้าถึงไฟล์ระบบต่างๆ มากกว่าแอนตี้ไวรัสตามปกติ
.
ปัญหาคือในวันนี้ช่วงเช้าตามเวลาประเทศไทย CrowdStrike Falcon มีการปล่อยอัปเดทใหม่ออกมา แต่กลับมีความผิดพลาดที่แสนสาหัสคือ Falcon ไปแก้ไขไฟล์บางอย่าง จนทำให้เครื่อง Windows ของลูกค้าเกิดอาการขึ้น Blue Screen Of Death และทำการรีสตาร์ทตัวเองไปเรื่อยๆ (หรือ Boot Loop) ทำให้ไม่สามารถใช้การได้เลย
.
หลังจากปัญหานี้ เริ่มเผยแพร่ออกไป ทาง Microsoft ซึ่งเป็นเจ้าของ Windows ได้ออกมาแถลงการณ์แล้วว่า จากการตรวจสอบพบว่า คอมพิวเตอร์ที่ได้รับผลกระทบ ล้วนมาจากสาเหตุเดียวกันคือใช้งานซอฟแวร์ขององค์กรหนึ่ง นั่นคือ CrowdStrike
.
ใครได้รับผลกระทบบ้าง?
เท่าที่ติดตามข่าวจนถึงตอนนี้ คอมพิวเตอร์ที่ได้รับผลกระทบอยู่ในจำนวนที่ “ไม่สามารถนับได้” เพราะไล่ไปตังแต่
- สนามบินและสายการบินทั่วโลก ไม่สามารถออกบัตรขึ้นเครื่องหรือเช๊คอินได้ เที่ยวบินต้องถูกยกเลิก
- สถานพยาบาลหลายๆแห่ง ไม่สามารถใช้ระบบบางอย่างภายใน จนไม่สามารถรับผู้ป่วยได้
- สถาบันการเงิน ไม่สามารถใช้บริการบางอย่างได้
- ร้านค้าต่างๆ ไม่สามารถรับชำระเงินได้ เพราะเครื่อง POS ค้างไปแล้วเรียบร้อย
- รถไฟล่าช้าในหลายพื้นที่
- พนักงานในออฟฟิศ ไม่สามารถทำงานต่อได้เลยเพราะเครื่องขึ้น BSOD ไปแล้วทั้งแผนก กลับบ้าน!
และที่หนักที่สุดคือ ฝ่าย IT Support ขององค์การต่างๆ ที่อาจจะไม่ได้มีวันหยุดสุดสัปดาห์นี้ และข้อความขอความช่วยเหลือน่าจะทะลักไปแล้วเรียบร้อย
CrowdStrike รับมือกับเหตุการณ์นี้ยังไงบ้าง
อย่างที่เห็นคือนี่ไม่ใช่แค่ระบบล่มธรรมดา แต่ความเสียหายนั้นเป็นวงกว้างไปทั่วโลก กระทบในทุกธุรกิจทุกภาคส่วนอย่างแท้จริง คุณ George Kurtz CEO ของ CrowdStrike ได้ออกมาทวีตแถลงการณ์สั้นๆ ว่า “CrowdStrike กำลังทำงานอย่างกระตือรือร้นกับลูกค้าที่ได้รับผลกระทบจากข้อบกพร่องที่พบในการอัปเดต ล่าสุด โดยปัญหาดังกล่าวมีผลกับ Windows เท่านั้น และนี่ไม่ใช่การโจมตีทางไซเบอร์แต่อย่างใด ทาง CrowdStrike ได้รับทราบต้นตอและทำการแก้ไขแล้ว”
.
แต่อย่างไรก็ตาม เนื่องจากแพทซ์แก้ปัญหาตัวใหม่ของทาง CrowdStrike นั้นจะอัปเดตได้ ก็ต่อเมื่อใช้เครื่อง ที่ยังเปิดเข้าใช้งานได้ เพื่ออัพเดท Falcon แล้วเท่านั้น นั่นแปลว่าเครื่อง Windows ที่เจอปัญหาจอฟ้าไปแล้วจะต้องทำการแก้ไขแบบ Manual เป็นเครื่องๆไป
.
แล้วจะแก้ไงยังไง?
วิธีแก้ไขหากเครื่องโดนจอฟ้าไปแล้วคือ
- ทำการบูต Windows เข้า Safemode หรือ Windows Recovery Environment
- ไปที่โฟลเดอร์ C:\Windows\System32\drivers\CrowdStrike
- ลบไฟล์ชื่อ C-00000291.sys
- รีสตาร์ทเครื่องตามปกติ
