[Segurança] Sexta-feira da maldade: bem-vindos ao apagão global (com memes)

Alera de spolier: Para obter informações precisas sobre o ocorrido rapidamente, eu recomendo essas duas referências:

• Comunicado oficial da CrowdStrike: Statement on Falcon Content Update for Windows Hosts
• Alerta da CISA.gov: Widespread IT Outage Due to CrowdStrike Update

--

Nesta sexta-feira, 19/08, acordamos com as notícias de que diversos sistemas em todo o mundo foram impactados por um grande problema em ssistemas Windows, causados por uma atualização em uma ferramenta de segurança:

• Apagão cibernético atrasa voos e prejudica serviços bancários e de comunicação ao redor do mundo (G1)
• Apagão cibernético global paralisa voos, afeta finanças e telecomunicações
• Bradesco fora do ar: bancos e filiais apresentam falhas em dia de pane em sistemas da Microsoft ao redor do mundo (Seu dinheiro)
• Apagão cibernético global paralisa voos e afeta TVs, bancos e hospitais (CNN Brasil)
• Global Microsoft outage hits airlines, banks and businesses (CNN)
• Crowdstrike and Microsoft: What we know about global IT outage (BBC)
• Global tech outage live updates: Flights grounded and offices hit as internet users face disruptions (AP)
• Bad CrowdStrike Update Linked to Major IT Outages Worldwide (Security Week)

De repente, computadores em todo o mundo começaram a travar, aparecendo a famosa "tela azul" (ou, em inglês, "Blue Screen of Death", ou BSOD).

 

O problema foi generalizado ao redor do mundo. Ganhou destaque na imprensa o fato de que as principais companhias aéreas dos EUA interromperam seus voos devido aos problemas de comunicação. Além disso, bancos, bolsas de valores, transportadoras, empresas de mídia e de telecomunicações ao redor do mundo também tiveram falhas em seus sistema que interromperam suas operações. No Brasil, o impacto foi bem menor, mas pelo menos 6 bancos e o Banco Central relataram problemas. Felizmente, na metade da manhã a maioria dos bancos já normalizado os seus serviços, segundo a Febraban. O STF também adimitiu que teve problemas no período da manhã.

O problema que causou a pane nos computadores rodando o Microsoft Windows aconteceu graças à uma atualização na ferramenta de segurança Falcon Sensor, da CrowdStrike. Após realizar essa atualização, os sistemas afetados apresentam dificuldades para inicializar corretamente, causando o aparecimento do erro na tela azul.

O bug afeta apenas versão da ferramenta Falcon Sensor para Windows. Sistemas em Linux e MacOS não foram impactados.

A Crowdstrike reconheceu o problema e informou que o problema foi identificado, corrigido, e um novo "fix" já foi liberado. Equipamentos Windows que foram ligados após as 5:27 UTC (8h27 no horário de Brasólia) não receberam a atualização bugada e, portanto, estão à salvo.

Em vários fóruns foi compartilhada uma recomendação para mitigar o problema e restaurar os equipamentos (dica também da Kaspersky ). Ela foi confirmada por um diretor da Crowdstrike e citada no comunicado oficial sobre o incidente.. Segue para conhecimento, mas use com cautela:

1. Inicialize o Windows em Modo de Segurança ou no Ambiente de Recuperação.
2. Vá até o diretório C:\Windows\System32\drivers\CrowdStrike.
3. Localize o arquivo que corresponde a “C-00000291*.sys” e exclua-o.
4. Inicialize o computador normalmente.

Atualizações (15:50):

• Veja o comunicado oficial da CrowdStrike: Statement on Falcon Content Update for Windows Hosts
• Também já foram identificados sites de phishing relacionados ao tema, portanto, tomem cuidado ao pesquisar sobre esse assunto.

Atualizações (18:30): Segundo a Crowdstrike, o problema não está afetando hosts baseados em Mac ou Linux, limitou-se aos computadores rodando Windows. Ainda assim, os hosts Windows que não foram afetados não requerem nenhuma ação, pois o arquivo problemático foi revertido.  Não foram afetados:

• Os hosts do Windows que ficam on-line após 05h27 UTC
• Hosts que executam o Windows 7/2008 R2
• O arquivo de canal "C-00000291*.sys" com carimbo de data/hora de 05h27 UTC ou posterior é a versão revertida (boa).

O arquivo de canal "C-00000291*.sys" com carimbo de data/hora de 04h09 UTC é a versão problemática.

Segundo alguns colegas que trataram esse incidente, é possível automatizar e aplicar os passos acima via GPO.

Ou seja, o problema aconteceu nos computadores Windows que estavam ativos entre 04h09 UTC e 05h27 UTC.

Atualizações (22/07):

• Em 20/07 a Microsoft lançou uma ferramenta de recuperação: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints;
• Segundo a Microsoft, cerca de 8,5 milhões de dispositivos foram afetados pelo problema da CrowdStrike;
• Vale a pena destacar que os cibercriminosos tentaram explorar essa falha na Crowdstrike. Além de sites de phishing, sites com dicas (verdadeiras ou falsas) e sites com pedidos de doação, também surgiram atores oferecendo ferramentas infectadas por malware:
• CrowdStrike alerta para ação de hackers na América Latina após apagão; entenda

(Atualização 24/07): Segundo notícia divulgada no portal Bank Info Security, estima-se que 93% dos sistemas afetados pelo bug da Crowdstrike já tinham sido corrigidos em 23/07.

(Atualização 24/07): A CrowdStrike publicou um vídeo no YouTube mostrando o passo-a-passo de com recuperar os computadores pessoais Windows, se o usuário tiver acesso como administrador local em seu equipamento: CrowdStrike Host Self-Remediation for Remote Users with Local Administrator Privileges

(Atualização 23/07): Desde o dia do incidente, surgiram diversos relatos de atores maliciosos explorando o problema da Crowdstrike em campanhas de phishing para espalhar dicas e falsas atualizações em troca de doações, além de campanhas para disseminar malware disfarçados de atualizações de software.  A própria Crowdstrike alertou em 20/07 sobre uma campanha direcionada a clientes na América Latina, e o portal The Bleeping Computer destacou uma campanha contra o banco BBVA. O portal também noticiou que foi compartilhado um documento do Word com um guia de como corrigir o problema, com um malware embutico para instalar o infostealer Daolpu.

Algumas empresas e pessoas aproveitaram e "surfaram no incidente". A Kaspersky, que recentemente foi banida dos EUA e obrigada a encerrar as suas operações no país, não deixou barato o fato de uma empresa de segurança americana ter derrubado a Internet (esse post foi reproduzido no Instagram e na conta brasileira deles):

O pessoal do KitKat, por sua vez, aproveitou que os computadores "deram um tempo"e a galera ficou ociosa:

E teve um cara que tirou o maior proveito da situação. Ele colocou em suas redes sociais que era um "ex-funcionário da Crowdstrike, demitido por um motivo injusto" e disse ter feito a atualização de software, no seu primeiro dia de trabalho, que resultou nesse apagão global:

Já estão compartilhando também a idéia de criar o "Dia Internacional da Tela Azul":

(Atualizado em 22/07) A galera não perdoa! Desde o final de sexta-feira 19/07 tem circulado algumas mensagens nas redes sociais e no Whatsapp lembrando que o em 2010 o atual CEO da CrowdStrike, George Kurtz, era o CTO da McAfee em 2010, quando o antivírus teve um grande problema que, da mesma forma, parou máquinas Windows em todo o mundo. Na ocasião, uma atualização de assinatura (ops, parece similar, né?) fez com que o antivírus começasse a identificar um arquivo de sistema do Windows como se fosse um vírus, o svchost.exe. Como resultado, os computadores Windows XP em todo o mundo começaram a dar tela azul.

O incidente do dia 19/07 rapidamente virou piada e gerou diversos memes. O pessoal do XKCD e das tirinhas nacionais Vida de Suporte e Vida de Programador não deixaram passar o incidente:

 

Obviamente, temos muitos memes sobre esse incidente:

 

     

   

   

   

   

   

Adicionado em 22/07): Alerta de Meme: Descobriram o motivo do impacto ter sido menor aqui no Brasil:

E, para finalizar, a mensagem motivacional para os profissionais de segurança da Informação:

Mais referências:

• CrowdStrike:
• Alerta Técnico | Windows falha relacionada ao Falcon Sensor | 2024-07-19 (acesso somente para clientes)
• Comunicado oficial: Statement on Falcon Content Update for Windows Hosts
• How to identify hosts possibly impacted by Windows crashes
• Technical Details: Falcon Content Update for Windows Hosts
• To Our Customers and Partners
• Likely eCrime Actor Uses Filenames Capitalizing on July 19, 2024, Falcon Sensor Content Issues in Operation Targeting LATAM-Based CrowdStrike Customers
• Esplicação técnica detalhada: Remediation and Guidance Hub: Falcon Content Update for Windows Hosts
• Veja também o alerta produzido pela CISA.gov, bem objetivo e direto ao ponto: Widespread IT Outage Due to CrowdStrike Update
• Artigo do Brian Krebs: Global Microsoft Meltdown Tied to Bad Crowdstrike Update
• Empresa responsável por pane global de tecnologia perde R$ 65 bi e CEO pede "profundas desculpas"
• Cyber criminals quickly exploit CrowdStrike chaos
• CrowdStrike: pane de sistemas partiu de falha em antivírus corporativo
• ALERTA 10/2024 Falha em atualização de produto CrowdStrike (CTIR Gov)
• Impactos no Brasil:
• CIOs revelam impacto do apagão cibernético da Crowdstrike e Microsoft no Brasil
• Entenda os impactos do apagão cibernético global no Brasil
• Sistema do STF foi atingido por apagão cibernético, mas sem dano aos processos, diz tribunal
• CrowdStrike shares sink as global IT outage savages systems worldwide
• CrowdStrike’s Role In the Microsoft IT Outage, Explained
• 'Feliz Dia Internacional da Tela Azul': pessoas ao redor do mundo brincam com impactos do apagão cibernético
• Vídeo mostra caos nos voos dos EUA durante apagão cibernético; veja
• "Direto do túnel do tempo" (2010): Atualização de antivírus 'mata' arquivo do Windows e danifica sistema
• Apagão cibernético: CrowdStrike afirma que maioria dos computadores voltou a funcionar após a pane
• Microsoft: 8,5 milhões de dispositivos foram afetados por apagão da CrowdStrike
• Sangria nas ações da CrowdStrike continua e já supera R$ 100 bilhões
• Fake CrowdStrike fixes target companies with malware, data wipers
• Fake CrowdStrike repair manual pushes new infostealer malware
• CrowdStrike Cleanup: Vast Majority of Systems Restored
• Fake CrowdStrike repair manual pushes new infostealer malware
• Alerta original (CrowdStrike): Threat Actor Uses Fake CrowdStrike Recovery Manual to Deliver Unidentified Stealer

PS: Post atualizado em 20 e 22/07 para ajustar uns links, adicionar outros, incluir algumas informações e, principalmente, mais fotos e memes :) Atualizado em 23/07 para incluir um alerta da Crowdstrike sobre golpes. Atualizado em 24 e 29/07.