Atualização da CrowdStrike afetou 8,5 milhões de dispositivos Windows

23 de Julho de 2024 as 09h 07min

A atualização defeituosa da CrowdStrike que causou um desastre tecnológico global na madrugada de sexta (19), afetou 8,5 milhões de dispositivos Windows, de acordo com a Microsoft.

Apesar de a empresa afirmar que isso representa “menos de um por cento de todas as máquinas Windows”, o problema foi suficiente para criar transtornos ao redor do mundo.

“Embora as atualizações de software possam ocasionalmente causar distúrbios, incidentes significativos como o evento da CrowdStrike são infrequentes”, explicou a Microsoft em uma postagem de blog. “Estimamos atualmente que a atualização da CrowdStrike afetou 8,5 milhões de dispositivos Windows, ou menos de um por cento de todas as máquinas Windows. Embora a porcentagem seja pequena, os amplos impactos econômicos e sociais refletem o uso da CrowdStrike por empresas que operam muitos serviços críticos”.

Em um comunicado divulgado na sexta-feira, a CrowdStrike explicou mais detalhadamente o que ocorreu e por que tantos sistemas foram afetados de uma vez. O arquivo de configuração que estava no centro do problema foi descrito pela empresa.

Os arquivos de configuração mencionados são chamados de ‘Arquivos de Canal’ e fazem parte dos mecanismos de proteção comportamental utilizados pelo sensor Falcon. Atualizações nos Arquivos de Canal são uma parte normal da operação do sensor e ocorrem várias vezes ao dia em resposta a novas táticas, técnicas e procedimentos descobertos pela CrowdStrike. Este não é um processo novo; a arquitetura está em vigor desde o início do Falcon.

A CrowdStrike esclareceu que o arquivo não é um driver de kernel, mas é responsável por “como o Falcon avalia a execução de named pipe1 em sistemas Windows”.

O pesquisador de segurança e fundador da Objective See, Patrick Wardle, disse em uma postagem no X (antigo Twitter) que a explicação está alinhada com a análise anterior que ele e outros forneceram sobre a causa da falha.

Ele afirmou que o arquivo problemático C-00000291 “desencadeou um erro lógico que resultou em uma falha do sistema operacional (via CSAgent.sys)”.

“Em 19 de julho de 2024, às 04:09 UTC [1:09, horário de Brasília], como parte das operações em andamento, a CrowdStrike lançou uma atualização de configuração do sensor para sistemas Windows. As atualizações de configuração do sensor são uma parte contínua dos mecanismos de proteção da plataforma Falcon. Esta atualização de configuração desencadeou um erro lógico, resultando em uma falha do sistema e tela azul (BSOD) nos sistemas impactados”.

Os sistemas executando o sensor Falcon para Windows 7.11 e superiores que baixaram a configuração atualizada entre 04:09 UTC e 05:27 UTC foram suscetíveis à falha do sistema. As atualizações de arquivos de canal da CrowdStrike foram enviadas para computadores independentemente de qualquer configuração destinada a prevenir tais atualizações automáticas, observou Wardle.

Fonte: DA REPORTAGEM