Empresas ao redor do mundo foram afetadas por interrupções generalizadas em suas estações de trabalho Windows devido a uma atualização defeituosa lançada pela empresa de cibersegurança CrowdStrike.
“A CrowdStrike está trabalhando ativamente com os clientes impactados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows”, disse o CEO da empresa, George Kurtz, em um comunicado. “Hosts Mac e Linux não foram afetados. Isso não é um incidente de segurança ou ciberataque.”
A empresa, que reconheceu “relatos de [telas azuis da morte] em hosts Windows”, afirmou que identificou o problema e que uma correção foi implementada para seu produto Falcon Sensor, instando os clientes a consultar o portal de suporte para as atualizações mais recentes.
Para sistemas que já foram afetados pelo problema, as instruções de mitigação são as seguintes:
- Inicialize o Windows em Modo de Segurança ou no Ambiente de Recuperação do Windows
- Navegue até o diretório
C:\Windows\System32\drivers\CrowdStrike - Encontre o arquivo chamado
"C-00000291*.sys"e exclua-o - Reinicie o computador ou servidor normalmente
Vale notar que a interrupção também afetou o Google Cloud Compute Engine, fazendo com que máquinas virtuais Windows usando o csagent.sys da CrowdStrike travassem e entrassem em um estado de reinicialização inesperada.
“Depois de receber automaticamente um patch defeituoso da CrowdStrike, as VMs Windows travam e não conseguem reiniciar”, afirmou. “As VMs Windows que estão atualmente em funcionamento não devem mais ser impactadas.”
A Microsoft Azure também publicou uma atualização semelhante, afirmando que “recebeu relatórios de recuperação bem-sucedida de alguns clientes que tentaram várias operações de reinicialização da Máquina Virtual nas Máquinas Virtuais afetadas” e que “várias reinicializações (até 15 foram relatadas) podem ser necessárias.”
A Amazon Web Services (AWS), por sua vez, afirmou que tomou medidas para mitigar o problema para o maior número possível de instâncias Windows, Workspaces Windows e Aplicativos Appstream, recomendando aos clientes ainda afetados pelo problema que “tomem medidas para restaurar a conectividade.”
O pesquisador de segurança Kevin Beaumont disse: “Eu obtive o driver da CrowdStrike que eles enviaram via atualização automática. Não sei como isso aconteceu, mas o arquivo não é um driver formatado corretamente e causa a falha do Windows toda vez.”
“A CrowdStrike é o produto EDR de alto nível, e está em tudo, desde pontos de venda até caixas eletrônicos, etc. – isso provavelmente será o maior incidente ‘cibernético’ mundial em termos de impacto.”
Companhias aéreas, instituições financeiras, cadeias alimentícias e de varejo, hospitais, hotéis, organizações de notícias, redes ferroviárias e empresas de telecomunicações estão entre os muitos negócios afetados. As ações da CrowdStrike caíram 15% no pré-mercado dos EUA.
“O evento atual parece, mesmo em julho, que será um dos problemas cibernéticos mais significativos de 2024”, disse Omer Grossman, Diretor de Informação (CIO) da CyberArk, em um comunicado .
“O dano aos processos de negócios em nível global é dramático. A falha se deve a uma atualização de software do produto EDR da CrowdStrike.”
“Este é um produto que funciona com altos privilégios e protege endpoints. Uma falha nisso pode, como estamos vendo no incidente atual, causar a falha do sistema operacional.”
Espera-se que a recuperação leve dias, pois o problema precisa ser resolvido manualmente, endpoint por endpoint, iniciando-os em Modo de Segurança e removendo o driver defeituoso, apontou Grossman, acrescentando que a causa raiz da falha será de “maior interesse.”
Jake Moore, conselheiro global de segurança da empresa de cibersegurança eslovaca ESET, disse que o incidente destaca a necessidade de implementar múltiplas “proteções” e diversificar a infraestrutura de TI.
“Atualizações e manutenção de sistemas e redes podem, inadvertidamente, incluir pequenos erros, que podem ter consequências de grande alcance, como experimentado hoje pelos clientes da CrowdStrike”, disse Moore.
“Outro aspecto deste incidente diz respeito à ‘diversidade’ no uso de infraestrutura de TI em larga escala. Isso se aplica a sistemas críticos, como sistemas operacionais, produtos de cibersegurança e outras aplicações implantadas globalmente. Onde a diversidade é baixa, um único incidente técnico, sem mencionar um problema de segurança, pode levar a interrupções em escala global com efeitos subsequentes.”
O desenvolvimento ocorre enquanto a Microsoft está se recuperando de uma interrupção separada que causou problemas com aplicativos e serviços do Microsoft 365, incluindo Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage e Purview.
“Uma mudança de configuração em uma parte das cargas de trabalho do backend do Azure causou interrupção entre os recursos de armazenamento e computação, resultando em falhas de conectividade que afetaram serviços downstream do Microsoft 365 dependentes dessas conexões”, disse a gigante da tecnologia.
Omkhar Arasaratnam, gerente geral da OpenSSF, disse que as interrupções da Microsoft-CrowdStrike ressaltam a fragilidade das cadeias de suprimentos monoculturais e enfatizou a importância da diversidade nas pilhas de tecnologia para maior resiliência e segurança.
“Cadeias de suprimentos monoculturais (um único sistema operacional, um único EDR) são inerentemente frágeis e suscetíveis a falhas sistêmicas – como vimos”, destacou Arasaratnam. “Uma boa engenharia de sistemas nos diz que as mudanças nesses sistemas devem ser implementadas gradualmente, observando o impacto em pequenas partes, ao invés de tudo de uma vez. Ecossistemas mais diversificados podem tolerar mudanças rápidas, pois são resilientes a problemas sistêmicos.”
Achou esse artigo interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
