CrowdStrike: detalhes técnicos sobre a falha do apagão. Uma falha na atualização do sensor de segurança Falcon da CrowdStrike causou um apagão cibernético global na sexta-feira, 19 de julho de 2024 . Essa falha afetou sistemas Windows que usam o Falcon Sensor para detectar e monitorar possíveis invasões, resultando em mais 8,5 milhões de computadores travando e BSOD (Tela Azul da Morte) no Windows.
Assim que essa falha ocorreu, muitos profissionais de TI como eu procuramos por detalhes técnicos sobre a falha da CrowdStrike – algo que inexistia naquele momento.
As primeiras informações técnicas revelaram que o problema estava relacionado ao(s) arquivo(s) com nome “C-00000291” e extensão .sys existente(s) na pasta C:\Windows\System32\drivers\CrowdStrike\, sendo que bastava removê-lo(s) em Modo de Segurança para o Windows voltar a funcionar corretamente.
Alguns desenvolvedores e profissionais de segurança publicaram que a falha foi causado por um problema de acesso à memória, enquanto outros alegaram que o problema estava relacionado a um arquivo do Falcon Sensor que continha apenas o caractere 0 (zero) .
Aqui no Brasil, lamentavelmente vários meios de comunicação conhecidos postaram opiniões e vídeos de uma profissional de IA apelidada de “Nina da Hora” que postou erradamente “A atualização do Falcon causou um falso positivo em larga escala, identificando erroneamente processos legítimos do Windows como potencialmente maliciosos“, ajudando na proliferação da desinformação sobre o motivo do apagão.
A CrowdStrike publicou um artigo detalhando o que realmente houve – e o erro foi relativamente básico.
Os arquivos de atualização do Falcon Sensor são salvos na pasta C:\Windows\System32\drivers\CrowdStrike\. O nome deles inicia com “C-” seguido de um número de identificação exclusivo, e o arquivo que causou o apagão é o 291.
É importante salientar que esses arquivos não são drivers de kernel, e eles não existem nas versões da CrowdStrike para Linux e MacOS.
Esse arquivo 291 controla como o Falcon avalia o named pipe (pipe nomeado) no Windows, sendo que o pipes nomeados são usados para comunicação entre processos ou entre sistemas no Windows. O utilitário Pipelist da Sysinternals lista os pipes nomeados abertos:
A atualização 291 foi disponibilizado para detectar novos pipes nomeados utilizados na conexão com o C2 (Centro de Controle) de alguns malwares e arquivos maliciosos.
Infelizmente essa atualização gerou um erro de lógica que resultou em uma falha do sistema operacional, causando a Tela Azul da Morte. A solução que a CrowdStrike implementou para resolver esse bug foi simplesmente lançar uma nova atualização que substitui essa e não causa esse problema.
Embora a CrowdSrike não tenha detalhado como o bug ocorreu internamente, especialistas em segurança como o guru do Google Project Zero Tavis Ormandy e o fundador da Objective-See Patrick Wardle comentaram que a atualização 291 certamente fez com que o Falcon Sensor acessasse informações na memória RAM que simplesmente não estavam presentes – e isso causou a falha.
A solução adotada por quem teve problema da Tela Azul da Morte é apagar a atualização 291, mas como isso exige acesso físico ao computador, ela não foi uma solução imediata.
O bug que causou o apagão foi um arquivo simples que gerou um erro interno no Falcon Sensor – e como esse aplicativo funciona com diversos drivers de kernel, o Windows travou. Como esses drivers de kernel são tipo boot, eles SEMPRE são carregados na inicialização do Windows e impedem que o sistema operacional funcione normalmente depois de reiniciado.
Por esse motivo é necessário entrar em Modo de Segurança: dessa maneira esses drivers não são carregados, permitindo que o Windows seja carregado e a atualização 291 possa ser removida manualmente para o sistema operacional voltar a funcionar corretamente. Depois disso o Falcon Sensor baixará a nova versão da atualização que não tem esse bug.
O que esse bug NÃO FOI:
– Ataque hacker
– Arquivo .sys com conteúdo contendo apenas o caractere zero
– Driver de kernel corrompido (eu abordo drivers de kernel na aula 12 do curso APTI20)
– CrowdStrike considerando arquivos do Windows maliciosos
CrowdStrike: detalhes técnicos e análise simplificada estão aqui.