Empresas em todo o mundo foram afetadas por interrupções generalizadas em suas estações de trabalho Home windows decorrentes de uma atualização defeituosa lançada pela empresa de segurança cibernética CrowdStrike.
“A CrowdStrike está trabalhando ativamente com clientes impactados por um defeito encontrado em uma única atualização de conteúdo para hosts Home windows”, disse o CEO da empresa, George Kurtz, em uma declaração. “Hosts Mac e Linux não são impactados. Este não é um incidente de segurança ou ataque cibernético.”
A empresa, que reconheceu “relatos de (telas azuis da morte) em hosts Home windows”, disse ainda que identificou o problema e que uma correção foi implantada para seu produto Falcon Sensor, pedindo aos clientes que consultem o portal de suporte para obter as atualizações mais recentes.
Para sistemas que já foram afetados pelo problema, as instruções de mitigação estão listadas abaixo –
- Inicialize o Home windows no Modo de Segurança ou no Ambiente de Recuperação do Home windows
- Navegue até o diretório C:WindowsSystem32driversCrowdStrike
- Encontre o arquivo chamado “C-00000291*.sys” e exclua-o
- Reinicie o computador ou servidor normalmente
Vale ressaltar que a interrupção também impactou o Google Cloud Compute Engine, fazendo com que máquinas virtuais Home windows que usam o csagent.sys do CrowdStrike travassem e entrassem em um estado de reinicialização inesperado.
“Após receber automaticamente um patch defeituoso da CrowdStrike, as VMs do Home windows travam e não conseguem reinicializar”, disse. “As VMs do Home windows que estão atualmente ativas e em execução não devem mais ser impactadas.”
O Microsoft Azure também publicou uma atualização semelhante, afirmando que “recebeu relatos de recuperação bem-sucedida de alguns clientes que tentaram várias operações de reinicialização de máquinas virtuais em máquinas virtuais afetadas” e que “várias reinicializações (até 15 foram relatadas) podem ser necessárias”.
A Amazon Net Companies (AWS), por sua vez, disse que tomou medidas para mitigar o problema para o maior número possível de instâncias do Home windows, Home windows Workspaces e aplicativos Appstream, recomendando aos clientes ainda afetados pelo problema que “tomem medidas para restaurar a conectividade”.
O pesquisador de segurança Kevin Beaumont disse: “Obtive o driver CrowdStrike que eles enviaram por meio de atualização automática. Não sei como isso aconteceu, mas o arquivo não é um driver formatado de forma válida e faz com que o Home windows trave sempre.”
“CrowdStrike é o produto EDR de primeira linha e está presente em tudo, desde pontos de venda até caixas eletrônicos, and many others. – este será o maior incidente 'cibernético' do mundo em termos de impacto, muito provavelmente.”
Companhias aéreas, instituições financeiras, redes de varejo e alimentos, hospitais, hotéis, organizações de notícias, redes ferroviárias e empresas de telecomunicações estão entre os muitos negócios afetados. As ações da CrowdStrike caíram 15% no pregão de pré-mercado dos EUA.
“O evento atual parece – mesmo em julho – que será um dos problemas cibernéticos mais significativos de 2024”, disse Omer Grossman, Chief Info Officer (CIO) da CyberArk, em uma declaração compartilhada com o The Hacker Information. “O dano aos processos de negócios em nível international é dramático. A falha é devido a uma atualização de software program do produto EDR da CrowdStrike.”
“Este é um produto que roda com altos privilégios que protege endpoints. Um mau funcionamento nisso pode, como estamos vendo no incidente atual, fazer o sistema operacional travar.”
A recuperação deve levar dias, pois o problema precisa ser resolvido manualmente, ponto por ponto, iniciando-os no Modo de Segurança e removendo o driver com defeito, destacou Grossman, acrescentando que a causa raiz do mau funcionamento será de “máximo interesse”.
Jake Moore, consultor de segurança international da empresa eslovaca de segurança cibernética ESET, disse ao The Hacker Information que o incidente serve para destacar a necessidade de implementar várias “medidas de segurança” e diversificar a infraestrutura de TI.
“Atualizações e manutenções em sistemas e redes podem incluir involuntariamente pequenos erros, que podem ter consequências de longo alcance, como as vivenciadas hoje pelos clientes da CrowdStrike”, disse Moore.
“Outro aspecto deste incidente está relacionado à 'diversidade' no uso de infraestrutura de TI em larga escala. Isso se aplica a sistemas críticos como sistemas operacionais (OSes), produtos de segurança cibernética e outros aplicativos implantados globalmente (em escala). Onde a diversidade é baixa, um único incidente técnico, sem mencionar um problema de segurança, pode levar a interrupções em escala international com efeitos colaterais subsequentes.”
O desenvolvimento ocorre no momento em que a Microsoft se recupera de uma interrupção separada que causou problemas com aplicativos e serviços do Microsoft 365, incluindo Defender, Intune, OneNote, OneDrive for Enterprise, SharePoint On-line, Home windows 365, Viva Interact e Purview.
“Uma alteração de configuração em uma parte de nossas cargas de trabalho de backend do Azure causou interrupção entre os recursos de armazenamento e computação, o que resultou em falhas de conectividade que afetaram os serviços downstream do Microsoft 365 dependentes dessas conexões”, disse a gigante da tecnologia.
Omkhar Arasaratnam, gerente geral do OpenSSF, disse que as interrupções da Microsoft-CrowdStrike ressaltam a fragilidade das cadeias de suprimentos monoculturais e enfatizou a importância da diversidade em pilhas de tecnologia para maior resiliência e segurança.
“Cadeias de suprimentos monoculturais (sistema operacional único, EDR único) são inerentemente frágeis e suscetíveis a falhas sistêmicas – como vimos”, Arasaratnam destacou. “Uma boa engenharia de sistemas nos diz que mudanças nesses sistemas devem ser implementadas gradualmente, observando o impacto em pequenas parcelas em vez de tudo de uma vez. Ecossistemas mais diversos podem tolerar mudanças rápidas, pois são resilientes a problemas sistêmicos.”
