Anthony Brown - stock.adobe.com
O caos da atualização do CrowdStrike explicado: o que você precisa saber
Uma atualização de software malfeita na empresa de segurança cibernética CrowdStrike causou o caos na TI em todo o mundo. Saiba mais sobre a descontinuação da atualização global CrowdStrike.
Na sexta-feira, 19 de julho de 2024, o mundo acordou com a notícia de uma interrupção de TI que se espalhava rapidamente, aparentemente de natureza global, afetando centenas –senão milhares– de organizações.
A perturbação começou nas primeiras horas da manhã de sexta-feira na Austrália, antes de se espalhar rapidamente pela Ásia, Europa e Américas, sendo a indústria de viagens uma das mais afetadas.
A interrupção foi rapidamente atribuída à empresa de segurança cibernética CrowdStrike, que já está envolvida na resposta a incidentes em meio ao caos.
O que o CrowdStrike faz?
CrowdStrike é uma das empresas líderes mundiais em segurança cibernética, com milhares de clientes em todo o mundo. Com sede no Texas, emprega mais de 8.000 pessoas e gera cerca de US$ 3 bilhões em receitas anualmente, a empresa existe desde 2011.
A organização se anuncia da seguinte forma: “A CrowdStrike redefiniu a segurança com a plataforma nativa da nuvem mais avançada do mundo que protege e capacita as pessoas, processos e tecnologias que impulsionam as empresas modernas. A CrowdStrike protege as áreas de risco mais críticas –endpoints e cargas de trabalho em nuvem, identidade e dados– para manter os clientes à frente dos adversários atuais e impedir violações.”
CrowdStrike será desconhecido para a maioria das pessoas não familiarizadas com a indústria de tecnologia, embora os fãs da Fórmula 1 saibam graças ao seu patrocínio principal da equipe Mercedes AMG Petronas – sua marca aparece no dispositivo de segurança halo e é claramente vista nas imagens a bordo do carro de Lewis Hamilton.
Os profissionais de segurança reconhecerão a CrowdStrike por suas contribuições frequentes para investigações de grandes incidentes, incluindo o hack da Sony Pictures, a crise do WannaCry e o hack de 2016 do Comitê Nacional Democrata pela Rússia.
O que aconteceu durante a interrupção do CrowdStrike?
Inicialmente, a interrupção se manifestou na forma da infame tela azul da morte –indicando um erro fatal do sistema– em PCs com Windows.
Como a interrupção parecia ser um problema da Microsoft, foi Redmond o primeiro a responder, confirmando pouco antes das 8h BST que estava investigando problemas que afetavam os serviços em nuvem nos EUA.
Rapidamente ficou claro que o problema não era devido à própria Microsoft, mas sim a um arquivo de canal defeituoso implementado no produto de sensor Falcon da CrowdStrike.
Falcon é uma solução projetada para prevenir ataques cibernéticos, unificando antivírus de próxima geração, detecção e resposta de endpoint (EDR), inteligência e caça a ameaças e higiene de segurança. Tudo isso é gerenciado e entregue por meio de um sensor leve, entregue e gerenciado na nuvem, que parece ser de onde surgiu o problema.
A falha na inicialização causou efetivamente o que é conhecido como loop de inicialização. Esta é uma situação que ocorre quando um dispositivo Windows é reinicializado sem aviso durante o processo de inicialização – o que significa que a máquina não consegue concluir um ciclo de inicialização completo e estável e, portanto, não consegue ligar.
No momento da redação deste artigo, os fatos do incidente não foram totalmente estabelecidos e a investigação provavelmente levará algum tempo.
No entanto, esses problemas normalmente ocorrerão devido a testes inadequados em vários ambientes de desktop e servidores, ou devido à falta de sandboxing adequado e mecanismos de reversão para atualizações que envolvem interação em nível de kernel.
Existe uma ameaça à segurança cibernética devido à interrupção do CrowdStrike?
Embora semelhante em seus efeitos e origens a um ataque à cadeia de suprimentos, é importante observar que a interrupção do CrowdStrike não é um incidente de segurança cibernética e ninguém foi atacado como resultado disso.
No entanto, como afecta um produto de cibersegurança, existe a possibilidade de os actores da ameaça tentarem tirar partido do tempo de inactividade causado e de quaisquer lacunas na cobertura que surjam.
Nos próximos dias e semanas, os agentes da ameaça irão quase certamente explorar o incidente em ataques de phishing e engenharia social, numa tentativa de atrair novas vítimas. As iscas potenciais podem incluir atualizações ou ofertas de suporte falsas do CrowdStrike, e as consequências podem incluir violações de dados, implantação de ransomware e extorsão.
Os líderes e administradores de segurança e TI fariam bem em comunicar os perigos potenciais a seus usuários.
Quem foi afetado pela interrupção do CrowdStrike?
De acordo com a Microsoft, o incidente afetou aproximadamente 8,5 milhões de dispositivos Windows em todo o mundo, representando menos de 1% de todo o patrimônio. Redmond disse que, embora este fosse um número pequeno, considerando todas as coisas, os impactos econômicos e sociais generalizados do incidente refletiram o uso do CrowdStrike por muitas organizações que administram serviços críticos voltados para o público.
O número total de organizações afetadas pela interrupção não é conhecido neste momento. No entanto, aqueles que se sabe terem sofrido algum impacto, ou que foi confirmado que o fizeram, incluem:
- Companhias aéreas como American Airlines, Delta, KLM, Lufthansa, Ryanair, SAS e United;
- Aeroportos como Gatwick, Luton, Stansted e Schiphol;
- Organizações financeiras como a Bolsa de Valores de Londres, Lloyds Bank e Visa;
- Cuidados de saúde, incluindo a maioria dos consultórios médicos e muitas farmácias independentes;
- Organizações de mídia como MTV, VH1, Sky e alguns canais da BBC;
- Varejistas, organizações de lazer e hospitalidade, incluindo Gail's Bakery, Ladbrokes, Morrisons, Tesco e Sainsbury's;
- Entidades esportivas, incluindo as equipes de F1 Aston Martin Aramco, Mercedes AMG Petronas e Williams Racing, todas competindo no fim de semana de 20 e 21 de julho no Grande Prêmio da Hungria, e o Comitê Organizador dos Jogos Olímpicos e Paralímpicos de Paris 2024, que começam em julho 26;
- Empresas operadoras de trens (TOC), como Avanti West Coast, Merseyrail, Southern e Transport for Wales.
O que CrowdStrike diz sobre a interrupção?
Em uma declaração inicial, o CEO da CrowdStrike, George Kurtz, disse: “A CrowdStrike está trabalhando ativamente com clientes afetados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. Este não é um incidente de segurança ou um ataque cibernético.
“O problema foi identificado, isolado e uma solução foi implementada. Indicamos aos clientes o portal de suporte para obter as atualizações mais recentes e continuaremos a fornecer atualizações abrangentes e contínuas em nosso site.
“Além disso, recomendamos que as organizações se comuniquem com os representantes da CrowdStrike através dos canais oficiais. “Nossa equipe está totalmente mobilizada para garantir a segurança e estabilidade dos clientes CrowdStrike.”
Numa entrevista matinal à televisão NBC nos Estados Unidos, Kurtz acrescentou: “Lamentamos profundamente o impacto que causamos aos clientes, viajantes e qualquer pessoa afetada por isto, incluindo os nossos negócios”.
A declaração completa da Microsoft, compartilhada com a BBC e atribuída a um porta-voz, diz: “Estamos cientes de um problema que afeta dispositivos Windows devido a uma atualização para uma plataforma de software de terceiros. Prevemos que haverá uma resolução em breve.”
Qual foi a resposta da Microsoft
A Microsoft tem trabalhado extensivamente ao lado da CrowdStrike para automatizar o trabalho de desenvolvimento e envio de uma correção e, após as interrupções, centenas de seus engenheiros e especialistas em software foram implantados para trabalhar diretamente com os clientes na restauração do serviço.
A Microsoft também tem colaborado com provedores de nuvem, como Google Cloud e Amazon Web Services (AWS), para compartilhar a conscientização sobre os impactos observados e informar melhor o diálogo contínuo com os clientes e a própria CrowdStrike.
Você pode resolver o problema do CrowdStrike sozinho?
CrowdStrike reverteu automaticamente as alterações no produto afetado, mas os hosts ainda podem travar ou não conseguir permanecer online para receber a atualização corretiva.
A resposta curta à pergunta é sim, mas, infelizmente, esses problemas podem ser difíceis de resolver, exigindo muito trabalho das equipes de TI. Pode levar dias, ou até mais, até que todos os dispositivos afetados possam ser alcançados.
Recomenda-se que os administradores do sistema executem as seguintes etapas:
- Inicialize o Windows no modo de segurança ou no ambiente de recuperação do Windows;
- Navegue até o diretório C:\Windows\System32\drivers\CrowdStrike;
- Localize o arquivo que corresponde a “C-00000291*.sys”. Exclua este arquivo;
- Eles começam normalmente.
Os clientes CrowdStrike podem acessar mais informações fazendo login no portal de suporte.
Como posso evitar problemas semelhantes no futuro?
Empresas de segurança como a CrowdStrike estão sob muita pressão quando se trata de desenvolvimento e atualizações de produtos, o que deve ser feito com frequência enquanto se esforçam para manter seus clientes protegidos contra novos ataques de dia zero, ransomware e similares.
Essa pressão também atinge os próprios clientes, que, compreensivelmente, muitas vezes desejam aproveitar as vantagens das configurações para permitir que suas ferramentas de segurança sejam atualizadas automaticamente.
Para evitar serem vítimas desses tipos de problemas no futuro, as equipes de TI devem considerar adotar uma abordagem em fases para atualizações de software –especialmente se elas se referirem a soluções de segurança– e testá-las em um ambiente sandbox ou em um conjunto limitado de dispositivos, antes implementação completa.
Também é aconselhável ter algum nível de redundância do sistema integrado para isolar e gerenciar adequadamente os domínios de falha, especialmente ao executar infraestruturas críticas.