Crowdstrike causou apagão da Internet, veja detalhes !

Crowdstrike causou apagão da Internet, veja detalhes !  O que foi o apagão da Internet em 19 de julho e o que fazer ?

A CrowdStrike disse que a interrupção sem precedentes da Microsoft sentida em todo o mundo decorreu de um erro de programação que foi acionado como parte de um processo de atualização comum , levantando mais questões sobre como o erro extremamente prejudicial pode ter ocorrido.

A atualização defeituosa do CrowdStrike Falcon levou ao colapso de potencialmente milhões de sistemas Microsoft Windows em todo o mundo na sexta-feira e prejudicou muito do que o mundo moderno depende, de viagens aéreas a assistência médica, serviços bancários e muito mais. Especialistas chamaram isso de a maior interrupção de TI de todos os tempos.

Depois que a empresa de segurança cibernética CrowdStrike enviou uma atualização para seu software Falcon Sensor que protege sistemas de missão crítica, telas azuis da morte (BSODs) começaram a derrubar sistemas baseados em Windows. Os problemas começaram na Austrália e seguiram a linha do tempo a partir daí.

Em uma postagem de blog divulgando detalhes técnicos na sexta-feira à noite, a CrowdStrike identificou um “erro de lógica” como o culpado pela indisponibilidade da Microsoft. O erro de programação foi acionado por uma atualização de configuração de sensor para o Falcon, que é um tipo frequente de atualização.

O que causou o grande colapso do CrowdStrike-Windows de 2024? 

A resposta é simples: “Quando um fornecedor de software confiável entrega uma atualização que faz com que os PCs parem de funcionar imediatamente no mundo todo, o caos se instala.” O incidente da semana passada não foi o primeiro evento desse tipo.

O Microsoft Windows alimenta mais de um bilhão de PCs e milhões de servidores no mundo todo, muitos deles desempenhando papéis importantes em instalações que atendem clientes diretamente. Então, o que acontece quando um fornecedor de software confiável entrega uma atualização que faz com que esses PCs parem de funcionar imediatamente? O caos se instala !

A interrupção causada por uma atualização do software de segurança Falcon da CrowdStrike se espalhou globalmente durante a sexta-feira, deixando bancos, companhias aéreas, serviços governamentais e muito mais offline, com uma “tela azul da morte” do Windows. Embora a falha não tenha se revelado uma violação de segurança cibernética, mas sim uma aparente incompetência, as ramificações — incluindo atrasos contínuos e problemas com os sistemas — continuaram até domingo e podem se estender pela semana.

Segundo a Microsoft 8,5 milhões de computadores Windows foram afetados pela interrupção do CrowdStrike.

Em uma postagem de blog no sábado , a Microsoft disse que, embora não tenha sido “um incidente da Microsoft”, estava ajudando seus clientes a se recuperarem com orientação técnica e suporte para trazer sistemas interrompidos de volta online com segurança. Junto com o trabalho com a CrowdStrike, a Microsoft enviou centenas de engenheiros e especialistas para trabalhar diretamente com os clientes.

Além disso, a Microsoft disse que está trabalhando com outros provedores de nuvem e partes interessadas, incluindo o Google Cloud Platform e a Amazon Web Services Inc., para compartilhar a conscientização sobre o estado do impacto que todos estão vendo no setor e para “informar conversas contínuas com a CrowdStrike e os clientes”.

Estamos trabalhando dia e noite e fornecendo atualizações e suporte contínuos”, disse David Weston, vice-presidente de segurança corporativa e de SO da Microsoft, no post do blog. “Além disso, a CrowdStrike nos ajudou a desenvolver uma solução escalável que ajudará a infraestrutura do Azure da Microsoft a acelerar uma correção para a atualização defeituosa da CrowdStrike.”

Ferramenta de recuperação

A Microsoft disponibilizou uma ferramenta de recuperação para as empresas afetadas pela Crowdstrike em  Microsoft Recovery Tool

A Microsoft Recovery Tool foi atualizada em 22/07/2024 como versão 3.1. Embora fundamentalmente não haja alterações funcionais na ferramenta, para a opção Recuperar do WinPE, expandimos o registro, a lógica de nova tentativa e o tratamento de erros. Para Recuperar do modo de segurança para entrega USB, adicionamos melhores dicas de conscientização do usuário sobre quando executar o comando de reparo.

Como acompanhamento do problema do agente CrowdStrike Falcon que afeta clientes e servidores Windows, a Microsoft lançou uma ferramenta de recuperação atualizada com duas opções de reparo para ajudar os administradores de TI a agilizar o processo de reparo. A Ferramenta de Recuperação Microsoft assinada pode ser encontrada no Centro de Download da Microsoft: https://go.microsoft.com/fwlink/?linkid=2280386 . Nesta postagem, incluímos etapas detalhadas de recuperação para clientes, servidores e sistemas operacionais Windows hospedados no Hyper-V. As duas opções de reparo são as seguintes:

    • Recuperar do WinPE – esta opção produz mídia de inicialização que ajudará a facilitar o reparo do dispositivo.
    • Recuperar do modo de segurança – esta opção produz mídia de inicialização para que os dispositivos impactados possam inicializar no modo de segurança. O usuário pode então efetuar login usando uma conta com privilégios de administrador local e executar as etapas de correção.

O que aconteceu?

Em 19 de julho de 2024 às 04:09 UTC, como parte das operações em andamento, a CrowdStrike lançou uma atualização de configuração de sensor para sistemas Windows. As atualizações de configuração de sensor são uma parte contínua dos mecanismos de proteção da plataforma Falcon. Esta atualização de configuração disparou um erro lógico resultando em uma falha do sistema e tela azul (BSOD) em sistemas impactados.

A atualização da configuração do sensor que causou a falha do sistema foi corrigida na sexta-feira, 19 de julho de 2024, às 05:27 UTC.

Este problema não é resultado nem está relacionado a um ataque cibernético.

Impacto

Clientes que executam o sensor Falcon para Windows versão 7.11 e superior, que estavam online entre sexta-feira, 19 de julho de 2024, 04:09 UTC e sexta-feira, 19 de julho de 2024, 05:27 UTC, podem ser afetados. 

Sistemas executando o sensor Falcon para Windows 7.11 e superior que baixaram a configuração atualizada de 04:09 UTC a 05:27 UTC – estavam suscetíveis a uma falha do sistema.

Manual do arquivo de configuração

Os arquivos de configuração mencionados acima são chamados de “ Arquivos de Canal ” e fazem parte dos mecanismos de proteção comportamental usados ​​pelo sensor Falcon. Atualizações nos Arquivos de Canal são uma parte normal da operação do sensor e ocorrem várias vezes ao dia em resposta a novas táticas, técnicas e procedimentos descobertos pelo CrowdStrike. Este não é um processo novo; a arquitetura está em vigor desde o início do Falcon.

Detalhes técnicos

Em sistemas Windows, os arquivos de canal residem no seguinte diretório:

C:\Windows\System32\drivers\CrowdStrike\

e tem um nome de arquivo que começa com “ C-”. Cada arquivo de canal recebe um número como um identificador exclusivo. O arquivo de canal impactado neste evento é 291 e terá um nome de arquivo que começa com “ C-00000291-” e termina com uma .sysextensão. Embora os arquivos de canal terminem com a extensão SYS, eles não são drivers de kernel .

O Channel File 291 controla como o Falcon avalia a execução do pipe nomeado 1 em sistemas Windows. Pipes nomeados são usados ​​para comunicação normal, interprocessual ou intersistema no Windows.

A atualização que ocorreu às 04:09 UTC foi projetada para atingir pipes nomeados maliciosos recentemente observados sendo usados ​​por frameworks C2 comuns em ataques cibernéticos. A atualização de configuração disparou um erro lógico que resultou em uma falha do sistema operacional. 

Arquivo de canal 291

CrowdStrike corrigiu o erro de lógica atualizando o conteúdo no Channel File 291. Nenhuma alteração adicional no Channel File 291 além da lógica atualizada será implementada. O Falcon ainda está avaliando e protegendo contra o abuso de pipes nomeados. 

Isso não está relacionado aos bytes nulos contidos no Arquivo de Canal 291 ou em qualquer outro Arquivo de Canal. 

Remediação

As recomendações e informações de correção mais atualizadas podem ser encontradas em nosso blog ou no Portal de Suporte . 

Entendemos que alguns clientes podem ter necessidades específicas de suporte e pedimos que entrem em contato conosco diretamente.

Os sistemas que não foram afetados atualmente continuarão operando conforme o esperado, continuarão fornecendo proteção e não correm risco de sofrer esse evento no futuro.

Sistemas que executam Linux ou macOS não usam o arquivo de canal 291 e não foram afetados. 

Análise da causa raiz

A Crowdstrike diz em seu blog que “Entendemos como esse problema ocorreu e estamos fazendo uma análise completa da causa raiz para determinar como essa falha lógica ocorreu. Esse esforço será contínuo. Estamos comprometidos em identificar quaisquer melhorias fundamentais ou de fluxo de trabalho que possamos fazer para fortalecer nosso processo. Atualizaremos nossas descobertas na análise da causa raiz conforme a investigação avança.

Pelo que o CrowdStrike é conhecido?

A grande empresa de segurança cibernética faz negócios no mundo todo por meio de vendas de software e investigações de grandes invasões.

Segundo a CNN, a empresa também ajuda a executar investigações de segurança cibernética para o governo dos EUA. Por exemplo, a CrowdStrike rastreou hackers norte-coreanos por mais de uma década,  diz a empresa . Ela também foi encarregada de rastrear os grupos de hackers que realizaram o hack de 2014 na Sony Pictures.

Mas a CrowdStrike é talvez mais conhecida por investigar o hack russo dos computadores do Comitê Nacional Democrata durante a eleição dos EUA de 2016. Ela tem estado no centro de falsas teorias da conspiração desde 2016, mais notavelmente depois que uma  transcrição da Casa Branca  revelou que o ex-presidente Donald Trump mencionou a Crowdstrike em sua ligação de julho de 2016 com o presidente ucraniano Volodymyr Zelensky que levou ao seu primeiro impeachment.

A CrowdStrike foi a primeira a soar publicamente o alarme sobre a interferência da Rússia nas eleições de 2016 e a avaliação da CrowdStrike foi posteriormente confirmada por agências de inteligência dos EUA.

Quando ouvi falar dessa catástrofe pela primeira vez (e não estou usando mal essa palavra, garanto), pensei que soasse familiar. No Sysadmin Subreddit do Reddit, o usuário u/externedguy me lembrou o porquê . Talvez você se lembre dessa história de 14 anos atrás:

“Atualização defeituosa do McAfee causa colapso mundial de PCs com XP.”

Opa, eles fizeram isso de novo.
Às 6h da manhã de hoje, a McAfee lançou uma atualização para suas definições de antivírus para clientes corporativos que tiveram um pequeno problema. E por “pequeno problema”, quero dizer o tipo que torna um PC inútil até que o suporte técnico apareça para consertar o dano manualmente. Como comentei no Twitter hoje mais cedo, não tenho certeza se algum criador de vírus já desenvolveu um malware que desligou tantas máquinas tão rapidamente quanto a McAfee fez hoje.

Nesse caso, a McAfee entregou um arquivo de definição de vírus (DAT) defeituoso para PCs que executavam o Windows XP. Esse arquivo detectou falsamente um arquivo crucial do sistema Windows, Svchost.exe, como um vírus e o excluiu. O resultado, de acordo com um relatório contemporâneo , é que “os sistemas afetados entrarão em um loop de reinicialização e [perderão] todo o acesso à rede”.

Fonte: Silicon Angle & Microsoft & Crowdstrike & ZDNet

Veja também:

 

 

 

 

 

 

About mindsecblog 2793 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.