Un bug critico nel software di sicurezza di CrowdStrike ha causato enormi disagi globali, colpendo uffici, banche e aeroporti. Esaminiamo il problema, il suo impatto e le soluzioni proposte per risolverlo.
Il bug Crowdstrike
Il bug è emerso a causa di un aggiornamento della logica di rilevamento nel sensore Falcon di CrowdStrike, provocando un black screen of death (BSOD) su molti sistemi Windows. Questo aggiornamento ha introdotto un errore nel servizio CsFalconService, portando al consumo del 100% di un singolo core della CPU
L’impatto è stato severo e diffuso, colpendo vari settori. In Australia, il governo ha convocato una riunione d’emergenza per affrontare i problemi operativi causati dal bug. Le segnalazioni indicano che il bug ha interrotto le operazioni in settori chiave come sanità, finanza e trasporti. Un gruppo ospedaliero ha riferito che migliaia di endpoint sono stati bloccati, con potenziali rischi per i pazienti.
CrowdStrike ha riconosciuto il problema e ha emesso un avviso ai clienti, ritirando l’aggiornamento problematico. La società ha raccomandato di riavviare i sistemi per risolvere il problema e ripristinare le normali operazioni.
La dichiazione ufficiale del CEO di Crowdstrike, George Kurtz
In un post su X, Kurtz ha dichiarato: “CrowdStrike sta lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows. Gli host Mac e Linux non sono interessati. Non si tratta di un incidente di sicurezza o di un attacco informatico. Il problema è stato identificato, isolato ed è stato distribuito un fix. Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti completi e continui sul nostro sito web. Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.”
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024
Il commento di Crowdstrike
“CrowdStrike sta lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows. Gli host Mac e Linux non sono interessati. Non si tratta di un incidente di sicurezza o di un attacco informatico.
Il problema è stato identificato, isolato ed è stato distribuito un fix. Rimandiamo i clienti al portale di assistenza per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti completi e continui sul nostro sito web.
Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali.
Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.”
La soluzione Microsoft
Il pomeriggio di venerdì Microsoft ha rilasciato un Recovery Tool ufficiale, che richiede però la creazione guidata di una USB key da cui effettuare il boot di sistema.
Un workaround efficace
Ecco tre metodi per risolvere il problema, come riportato da Windows Latest
1. Metodo della Modalità Provvisoria e Eliminazione del File:
- Avviare il PC in modalità provvisoria.
- Aprire il prompt dei comandi (admin) o Windows PowerShell (Admin).
- Navigare alla directory CrowdStrike:
-
cd C:\Windows\System32\drivers\CrowdStrike
- Verificare l’esistenza del file ”incriminato”:
dir C-00000291*.sys
Eliminare il file:
del C-00000291.sys
2. Rinominare la Cartella in Modalità Provvisoria:
- Avviare il PC in modalità provvisoria.
- Aprire il prompt dei comandi e navigare alla directory dei driver:
cd \windows\system32\drivers
- Rinominare la cartella CrowdStrike
ren CrowdStrike CrowdStrike_old
3. Modifica del Registro di Sistema:
- Avviare Windows in modalità provvisoria.
- Aprire l’Editor del Registro di Sistema e navigare a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent
Modificare il valore di avvio da 1 a 4 per disabilitare il servizio.
I commenti di analisti e player del settore
I concorrenti di CrowdStrike non hanno tardato a commentare. Un portavoce di Symantec ha affermato: “Questo incidente dimostra l’importanza di un rigoroso processo di verifica e convalida. I nostri clienti possono essere certi che mettiamo la sicurezza e l’affidabilità al primo posto.”
Un rappresentante di McAfee ha aggiunto: “Mentre incidenti come questi sono rari, evidenziano la necessità di una protezione multi-livello e di backup robusti. McAfee lavora costantemente per assicurare che i nostri aggiornamenti non compromettano la stabilità dei sistemi dei clienti.”
Omer Grossman, CIO di CyberArk, ha dichiarato: “L’evento a cui stiamo assistendo sarà, anche se siamo solo a luglio, uno dei problemi informatici più significativi del 2024. I danni ai processi aziendali a livello globale sono drammatici. L’inconveniente è dovuto a un aggiornamento del software del prodotto EDR di CrowdStrike, soluzione che funziona con privilegi elevati e protegge gli endpoint. Un suo malfunzionamento può, come stiamo vedendo in questo caso specifico, causare il crash del sistema operativo.
Ci sono due questioni principali da analizzare:
- Come i clienti possano tornare online e ripristinare la continuità dei processi aziendali. Poiché gli endpoint si sono bloccati – con la comparsa del Blue Screen of Death – non possono essere aggiornati da remoto e il problema deve essere risolto manualmente, endpoint per endpoint. Si prevede che questo processo richiederà giorni.
- La seconda riguarda la causa del malfunzionamento. La gamma di possibilità spazia dall’errore umano – ad esempio uno sviluppatore che ha scaricato un aggiornamento senza un sufficiente controllo di qualità – allo scenario complesso e interessante di un cyberattacco profondo, preparato in anticipo e che prevede l’attivazione da parte di un attaccante di un “doomsday command” o “kill switch”.
Il bug nel sensore Falcon di CrowdStrike ha evidenziato le sfide e i rischi associati agli aggiornamenti software su larga scala. Sebbene l’azienda abbia risposto rapidamente per mitigare il problema, l’incidente ha causato significative interruzioni e ha sollevato domande sulla robustezza dei processi di test di CrowdStrike. Le lezioni apprese da questo incidente saranno cruciali per migliorare le pratiche di sicurezza informatica e garantire che simili problemi vengano prevenuti in futuro.”