Uma atualização do CrowdStrike Falcon travou sistemas Windows em todo o mundo, gerando um apagão global, e consequentemente, muita confusão.
A CrowdStrike Holdings, Inc. é uma companhia americana de tecnologia de segurança cibernética com sede em Austin, Texas.
Essa empresa fornece proteção de carga de trabalho em nuvem e segurança de endpoint, inteligência contra ameaças e serviços de resposta a ataques cibernéticos. Uma de seus softwares, é o Crowdstrike Falcon.
O Crowdstrike Falcon é a plataforma da empresa criada para impedir violações (ataques de hackers) por meio de um conjunto unificado de tecnologias como antivírus de última geração (NGAV), detecção e resposta de endpoint (EDR), inteligência de ameaças cibernéticas, recursos gerenciados de caça a ameaças e higiene de segurança.
E, na última sexta-feira (19/07), um componente defeituoso na atualização mais recente do CrowdStrike Falcon causou o travamento de sistemas Windows, afetando várias organizações e serviços em todo o mundo, incluindo aeroportos, estações de TV, bancos, hospitais, e muitos outros.
CrowdStrike Falcon travou sistemas Windows em todo o mundo
Sim. Uma atualização do CrowdStrike Falcon travou sistemas Windows em todo o mundo. A falha afetou estações de trabalho e servidores Windows (macOS e Linux não foram afetados), com usuários relatando interrupções massivas que deixaram empresas inteiras off-line e frotas de centenas de milhares de computadores.
De acordo com alguns relatórios, os serviços de emergência nos EUA e no Canadá também foram afetados.
Os usuários reclamaram que os hosts do Windows ficaram presos em um loop de inicialização ou exibiram a Tela Azul da Morte (BSOD) após instalar a atualização mais recente do CrowdStrike Falcon Sensor.
O fornecedor de segurança reconheceu o problema e publicou um alerta técnico explicando que seus engenheiros “identificaram uma implantação de conteúdo relacionada a este problema e reverteram essas alterações”.
“Os sintomas incluem hosts que apresentam um erro de verificação de bug/tela azul relacionado ao Sensor Falcon”, diz CrowdStrike no alerta técnico.
A empresa revelou que o culpado é um arquivo de canal, que contém dados do sensor (por exemplo, instruções). Por ser apenas um componente da atualização do sensor, esse tipo de arquivo pode ser abordado individualmente sem remover a atualização do Sensor Falcon.
Para aqueles já afetados, CrowdStrike fornece as seguintes etapas de solução alternativa:
- Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows
- Navegue até o diretório C:\Windows\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Inicialize o host normalmente.
George Kurtz, presidente e CEO da CrowdStrike, anunciou há poucos minutos que a empresa “está trabalhando ativamente com os clientes” e confirmou que os problemas são causados ”por um defeito encontrado em uma única atualização de conteúdo para hosts do Windows”.
“Recomendamos ainda que as organizações garantam que estão se comunicando com os representantes da CrowdStrike por meio de canais oficiais. Nossa equipe está totalmente mobilizada para garantir a segurança e a estabilidade dos clientes da CrowdStrike” – George Kurtz
O CEO da CrowdStrike afirma que uma correção está disponível e aconselha os clientes a acessar o portal de suporte para obter as atualizações mais recentes.
Em uma declaração atualizada, a CrowdStrike diz que “o arquivo de canal problemático [ C-00000291*.sys” com registro de data e hora de 0409 UTC ] foi revertido” e a versão correta dele é C-00000291*.sys com registro de data e hora de 0527 UTC ou posterior.
A empresa também oferece duas opções para resolver o problema em ambientes virtuais e de nuvem, sendo uma variante reverter para um instantâneo antes das 04h09 UTC. A segunda opção é o seguinte procedimento de sete etapas:
- Desanexe o volume do disco do sistema operacional do servidor virtual afetado
- Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais
- Anexar/montar o volume em um novo servidor virtual
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Desanexe o volume do novo servidor virtual
- Reconecte o volume fixo ao servidor virtual impactado
Interrupção atingiu empresas em todo o mundo
No entanto, no momento da correção, muitas grandes organizações em vários setores verticais já haviam sido afetadas.
No Brasil, o Bradesco informou que suas plataformas digitais foram afetadas pelo apagão e a companhia aérea Azul também informou que os voos operados pela empresa sofreram “atrasos pontuais” por causa do problema.
Alguns relatórios dizem que a atualização do CrowdStrike impactou cerca de 911 agências de serviços de emergência no estado de Nova York (EMS, polícia, bombeiros), Alasca e Arizona, bem como serviços 911 em partes do Canadá.
Um telecomunicador do 911 em Illinois disse que eles estavam “trabalhando fora do papel até que as coisas voltassem”.
Há também relatos de que a linha direta de saúde na Catalunha, Espanha, foi afetada e as autoridades pedem aos cidadãos que não liguem para o 061, a menos que haja uma emergência.
A emissora holandesa NOS disse que a falha criou perturbações no aeroporto de Schiphol e “forçou a suspensão de vários voos” (operados pela KLM e Transavia).
O Aeroporto de Melbourne disse que estava enfrentando “um problema tecnológico global que está afetando os procedimentos de check-in de algumas companhias aéreas”. Os mais afetados são os passageiros que partem internacionalmente pelas companhias aéreas Jetstar e Scoot.
Há algumas horas, na última atualização, o Aeroporto de Zurique diz que “os voos com destino a Zurique que já estão no ar ainda estão autorizados a aterrar”, não há aeronaves “de momento a descolar para o Aeroporto de Zurique”, e não há partidas. para os EUA
Além disso, há atrasos e cancelamentos e os passageiros de cada companhia aérea devem fazer o check-in manualmente.
Outros aeroportos afetados estão em Berlim, Barcelona, Brisbane, Edimburgo, Amsterdam e Londres.
Nos EUA, a Administração Federal de Aviação recebeu solicitações para ajudar várias companhias aéreas (American Airlines, United, Delta) com escalas em terra até que “um problema técnico que afeta os sistemas de TI” seja resolvido.
Nos aeroportos JFK e LaGuardia nos EUA, os voos foram suspensos devido a interrupções causadas pela atualização CrowdStrike, deixando os passageiros retidos.
Alguns hospitais nos Países Baixos – Scheper em Emmen, Hospital Slingeland em Achterhoek e postos de emergência em Hoogeveen e Stadskanaal também foram afetados.
Em Barcelona, o Hospital Universitário Terrassa e o Instituto Catalão de Oncologia enfrentaram problemas hoje cedo devido ao problema do CrowdStrike, mas começaram a retornar à atividade normal.
Nos EUA, o hospital Bellevue em Nova York e o NYU Langone Hospital também foram afetados.
Na manhã de sexta-feira, várias estações de televisão e meios de comunicação, como Sky News e ABC, sofreram interrupções devido a falhas de computadores.
Um grande número de usuários começou a expressar sua frustração nos comentários do Reddit sobre dezenas e até centenas de milhares de computadores travando após a atualização do CrowdStrike e o impacto em suas empresas:
“Malásia aqui, 70% dos nossos laptops estão inativos e presos na inicialização, a sede do Japão ordenou o fechamento de toda a empresa
210 mil BSODS, todos às 10:57 PST… e continua aumentando… isso é ruim…
Estações de trabalho e servidores aqui na Austrália… frota de mais de 50 mil – alguém vai se divertir.
A Austrália também está falhando aqui. Toda a nossa empresa está offline
O mesmo acontece aqui na Austrália. A empresa inteira está fora do ar.
Metade da empresa caiu. De alguma forma, atingiu nossos servidores AWS também. Grande tempo de inatividade de serviço para nossos clientes
Toda a organização e entidades comerciais aqui embaixo. Metade da TI está bloqueada.
Estamos vendo grandes problemas aqui na Nova Zelândia no momento, com interrupções em toda a empresa afetando servidores e estações de trabalho.
Apoiando as Filipinas e a China. Todos experimentando o mesmo também”
Apesar de uma correção estar sendo implantada e da CrowdStrike fornecer uma solução alternativa para hosts Windows que já estão travando, as empresas sentirão os efeitos do problema por um tempo.
Os administradores terão um fim de semana prolongado, especialmente com frotas de dezenas ou centenas de milhares de computadores, funcionários trabalhando remotamente, data centers externos ou ambientes em nuvem onde a inicialização em modo de segurança não é uma opção.