2024年7月19日全球多国微软蓝屏事件详情（2024年7月发生的社会事件）

简介

事发后，事件原因经调查为网络安全服务提供商、被广泛用于管理Windows PC和服务器安全的CrowdStrike的更新错误。2024年7月19日，微软公司表示，所有先前受影响的应用程序和服务均已恢复。

事件经过

大众反馈

当地时间2024年7月19日，微软公司（Microsoft）旗下部分应用和服务出现访问延迟、功能不全或无法访问问题。在全球范围内，许多微软用户反映搭载Windows系统的电脑出现“蓝屏”死机（BSOD）故障，无法正常启动。首先发觉此事件的是澳大利亚的银行、航空公司和电视广播公司，数千台设备由此不得不下线。随着总部设在欧洲的企业开始工作，问题迅速引发广泛关注。多名网友在社交平台晒出蓝屏截图，“感谢微软，提前放假”的话题也冲上热搜。

波及全球

微软蓝屏事件不仅影响到了Windows电脑用户，还波及到了全球范围内的多家金融机构、航空公司、电视广播公司、超市及其他企业等。

航空公司

2024年7月19日早间，根据美国联邦航空管理局（FAA）发出的警报，美国航空、联合航空和达美航空已请求FAA对所有航班实施全球停飞。FAA则要求空中交通管制员告知飞行员航空公司遇到了通信问题。虽然空中航班将继续飞行，但美航、联航和达美的航班将不会起飞。边疆航空公司表示，其系统因微软的服务中断受到了影响。

欧洲最大的航空公司之一瑞安航空也表示，他们遭遇了由“第三方”IT问题引发的影响，导致航班起飞受阻。柏林机场也因“技术问题”警告称，可能会有航班延误。

澳大利亚墨尔本机场也表示，他们“遇到了全球技术问题”，影响了机场的登机程序。

2024年7月19日下午，香港机场管理局表示，由于微软系统出现故障，受影响航空公司改用人手办理登记手续，已启动紧急应变机制跟进，呼吁旅客预留充足时间。同日14时45分，国泰航空宣布，因无法预期的技术问题，位于香港国际机场的自助办理值机手续设施未能使用。国泰恳请所有顾客在前往机场前在线办理值机手续，获取手机登机牌，并强烈建议有托运行李的顾客在航班出发前至少三小时抵达机场，以便有足够的时间办理值机手续。

铁路运输

2024年7月19日，西日本旅客铁道公司也因该故障无法提供列车行驶位置信息。

金融机构

2024年7月19日，经营伦敦证券交易所的伦敦证券交易所集团表示遇到了一个全球性的技术问题，导致新闻无法发布。澳大利亚当地银行Suncorp、NAB、Bendigo Bank和Commonwealth Bank均受到了影响。

新闻媒体

2024年7月19日，英国广播公司天空新闻无法播放早间新闻简报，并发布了一则“广播中断”的消息致歉。澳大利亚广播公司SBS、Network 10、ABC和Sky News Australia无法在当日下午播放原定的节目。

事件调查

根据媒体报道，微软蓝屏是缘于Windows网络安全服务提供商“群集打击”CrowdStrike的一个错误更新，导致受影响的电脑和服务器无法正常启动，迫使它们陷入了恢复启动循环。

CrowdStrike是一家总部位于美国得克萨斯州奥斯汀的网络安全技术公司，它提供云工作负载保护和端点安全、威胁情报和网络攻击响应服务，在全球范围内被广泛用于管理Windows PC和服务器的安全。CrowdStrike参与了几次备受瞩目的网络攻击调查，包括2014年索尼影业黑客攻击、2015-16年对民主党全国委员会（DNC）的网络攻击，以及2016年涉及DNC的电子邮件泄露等。

事件处置

微软

2024年7月19日，微软在事发后确认旗下Microsoft 365系列服务出现访问中断的情况，受影响的软件包括但不限于Microsoft 365应用系列及微软Xbox、Teams等。微软官网账号在社交平台表示已在调查影响用户访问各种Microsoft 365应用和服务的问题。在Azure云计算平台的状态页面上，微软表示问题始于美国时间周四（2024年7月18日）晚10时前，影响了美国中部地区的系统，并表示在更新中确定了问题的原因，在努力恢复用户的访问。

同日（7月19日），微软确认大部分服务已恢复正常运行。不过微软承认少数客户的服务仍可能受到影响，表示会继续以最高优先级和紧急程度处理这一事件。7月19日，微软公司表示，所有先前受影响的应用程序和服务均已恢复，正进行监控以确保中断影响被完全解决。

CrowdStrike

事发后，Crowdstrike表示已收到大量关于Windows出现蓝屏的报告，影响了多个Falcon Sensor版本，公司工程部已确定该问题与“内容部署（content deployment）”有关，已发现并修复了此问题。

事件影响

截至北京时间2024年7月19日美股收盘，微软股价下跌0.71%。而Crowdstrike在德国Tradegate交易平台下跌超11%。

事件回应

中国三大航未受影响

2024年7月19日，中国国航、东航、南航三大航空公司在回应此事时表示未受到大范围系统技术故障影响，航班运行正常。此外，北京首都机场和大兴机场出发的国际航班也运行正常。

网络工程师方案指引

微软蓝屏事件发生后，很多网友的电脑蓝屏画面出现了“csagent.sys”错误字样。Reddit上数百名IT管理员及部分网络工程师提出解决方案，包括将受影响的Windows电脑启动到安全模式，再导航至CrowdStrike目录并删除系统文件。对于基于云服务器和远程部署的Windows电脑来说，这是一项相当繁琐的任务。

社会评价

网络安全商业研究分析机构斯元创始人Bruce Zhang表示，科技生态是融合的，但同时代表影响也是交错和蔓延的。Windows本身是受到了CrowStrike的影响。CrowStrike在美国属于头部的安全大企业，但依然也会爆发如此大规模影响的问题，某种程度上，这属于供应链引起的安全事件，对于安全建设，不仅自身要做好，也要做好供应链的安全管理。此次事件意味着终端是不可忽视的一个安全防护薄弱环节，无论这次的升级危机，还是频频爆发的勒索，很多都是从终端入手。而且终端影响每一个用户，造成的社会影响也往往特别大。

青藤云安全COO程度表示，此次事件也为业界带来重要启示。首先安全依然是重中之重。其次，在对于安全产品技术路线的选择上，通常软件开发包括内核态和用户态，前者拥有更高的系统权限，可以直接访问硬件，但劣势在于错误的驱动可能危及整个系统的稳定性和安全性；后者如果出错通常只影响单个应用程序，不会导致系统崩溃。目前看来CrowdStrike应该是在内核态下导致的问题。如果尽量采用非内核态的形式，出现这类问题的概率会低很多。程度同时表示，在进行软件更新时，全量更新也是行业大忌。业界通常的做法是灰度更新，如按照区域、行业等分步更新，以及在非工作时间、非业务高峰期更新，待稳定之后再做大规模更新。这样即使出现问题也不容易影响客户的业务连续性，更不至于影响全球范围内的客户。