Atualização da CrowdStrike causa impacto global. A Crowdstrike, empresa americana focada em segurança digital, disponibilizou durante a madrugada do dia 19 de julho uma atualização para o principal módulo de monitoramento (Falcon Sensor) que causa BSOD (Tela Azul da Morte) no Windows.
Embora esse bug não afete o Windows 7 e Windows 2008 R2, todas as demais versões do Windows estão vulneráveis a esse bug.
UPDATE 20/07: A Microsoft confirmou que o problema de atualização do CrowdStrike afetou 8,5 milhões de dispositivos Windows, ou seja, menos de um por cento de todos computadores rodando esse sistema operacional.
Atualizações problemáticas de antivírus não são novidades, pois isso já aconteceu antes com a Avast , Norton , McAfee , Avira , Carbon Black , entre outras.
Nesse caso o problema foi muito mais grave, pois a CrowsStrike tem mais de 30 mil clientes, incluindo 300 das 500 maiores empresas americanas. Entre elas estão bancos, companhias aéreas, hospitais e grandes corporações como Microsoft, Disney, VISA, Intel, Uber, Siemens, BMW, Mercedes-AMG F1, Panasonic, Fujitsu, Ebay, Comcast, Locaweb, Deutsche Telekom, Ericsson, Seagate, Salesforce, UPS, Bolsa de Valores de Londres, Departamento de Justiça dos EUA, etc.
Além disso, muitas cidades e estados americanos utilizam soluções da CrowdStrike em seus servidores e computadores, incluindo Las Vegas, Nova Iorque, Nova Jersey, Tennessee, Georgia, Carolina do Norte, Filadélfia, entre outros.
O bug da CrowdStrike afetou clientes e usuário no mundo todo – incluindo usuários do Azure, uma vez que a Microsoft também é cliente da CrowdStrike.
Aliás, a imagem da Sphere de Las Vegas com a Tela Azul que tem sido compartilhada é FALSA, e ela está na internet há mais de um ano.
Essa atualização da CrowdStrike está sendo considerada como “a maior interrupção de TI da história” devido à extensão do problema gerado e o tempo necessário para restabelecer o funcionamento de milhões de computadores no mundo todo.
O Falcon Sensor é o módulo que monitora tudo que acontece no PC do usuário, bloqueando ataques baseado em análises comportamentais alimentadas por IA e indicadores de ataque (IOAs). Além disso, ele é um módulo “invisível” (não tem interface do usuário ou pop-up) e pode ser utilizado juntamente com outras soluções de segurança e antivírus de terceiros.
Embora as soluções da CrowdStrike tenham versões para MacOS e Linux, a atualização disponibilizada na madrugada do dia 19 de julho para Windows veio com um bug que causa BSOD (Tela Azul da Morte), impossibilitando o seu uso. Para piorar, a solução para isso envolve acesso físico ao computador – algo complicado e demorado em vários cenários.
Além de servidores e computadores, caixas eletrônicos e caixas registradoras também estão fora do ar.
Curiosamente a versão da CrowdStrike para Linux (Debian Server) TAMBÉM TEVE um problema similar em abril gerando um kernel panic, mas ninguém percebeu pois poucos usam ele .
Embora a Crowdstrike já tenha corrigido o bug , administradores de grandes redes (algumas com mais de 250 mil computadores distribuídos no mundo todo) estão reclamando do trabalho envolvido na solução desse problema – principalmente quando o BitLocker está em uso.
Um administrador disse “não é possível inicializar em Modo de Segurança porque as chaves do BitLocker são armazenadas dentro de um serviço no qual não podemos fazer logon porque nosso AD está inativo“
Ao menos a solução do bug da CrowdStrike é bastante simples:
- Bootar o Windows em Modo de Segurança ou Modo de Recuperação
- Apagar os arquivos C-00000291*.sys que estão dentro da pasta %WINDIR%\System32\drivers\CrowdStrike
- Reiniciar o Windows
Embora as soluções da CrowdStrike sejam pouco utilizadas no Brasil, grandes empresas brasileiras tiveram problemas: Caixa Econômica Federal, C6, Bradesco, Next, Neon, Nubank, Pan, XP Investimentos, Hospital das Clínicas, Hospital Sírio-Libanês, entre outras.
O site americano da CNN tem uma cobertura muito detalhada e atualizada sobre as empresas que estão sofrendo com o bug da CrowdStrike no mundo todo, incluindo status da correção e informações adicionais. Vale a pena você conferir.
Antes da CrowdStrike publicar detalhes técnicos do bug, haviam várias especulações sobre o que houve.
Bill Buchana, professor de Criptografia Aplicada da Universidade de Edinburgh, e outros desenvolvedores, a falha da atualização da CrowdStrike certamente foi causado por um problema de acesso à memória, que é algo comum quando se utiliza a linguagem C/C++
Na opião dele, a CrowdStrike deveria implementar o uso da linguegem Rust para evitar esse tipo de problema – inclusive a própria Microsoft está migrando o kernel do Windows para Rust .
Além do uso no kernel do Windows, a Microsoft também está incentivando a comunidade de desenvolvedores de drivers para usarem Rust com exemplos no GitHub .
UPDATE 21/07: Tavis Ormany (brilhante profissional relacionado a análise de código) discorda do Bill Buchana: